ADM950 - Secure SAP System Management.en.ES

8/12/2019 ADM950 - Secure SAP System Management.en.ES

http://slidepdf.com/reader/full/adm950-secure-sap-system-managementenes 1/353



echos de autoryright © 2 ! SAP A"# $odos los derechos reser%ados#una parte de esta publicaci'n puede ser reproducida o transmitida en cual(uier forma o por cual(uier 'sito sin el permiso e)preso de SAP A"# *a informaci'n contenida en este documento puede

modificados sin pre%io a%iso#unos productos de soft+are comercializados por SAP A" y sus distribuidores contienen propiedadponentes de soft+are de otros pro%eedores de soft+are#rcas comerciales

osoft ., /indo+s . &$ ., 0)cel ., /ord ., Po+erPoint . y S1* Ser%er . soncas comerciales registradas de icrosoft Corporation#., 432, 5S 6 2 ., 43267 ., Parallel Sysple) ., 8S 6 0SA ., 9S67 ., A : ., ., AS6< ., 5S6!; y 5S6< . son marcas registradas de 3

poration#C*0 . es una marca registrada de 5racle Corporation#59 :-5n*ine . para SAP y &=59 : . Ser%er$ din>mica est> registradocas comerciales de nformi) Soft+are ncorporated#

: ., : 6 5pen, 5S= 6 ? ., y otif . son marcas registradas de $he 5pen "roup#) ., el logotipo de Citri), CA ., Program &eighborhood ., eta=rame ., /in=rame,o=rame ., ulti/in y otros nombres de productos mencionados en este documento son de Citri)cas comerciales de Citri) Systems, nc#*, 4@$ *, : *, :@$ * son marcas comerciales o marcas comerciales registradas de /!C .,/ide /eb Consortium, assachusetts nstitute of $echnology#

A . es una marca registrada de Sun icrosystems, nc#ASC9 P$ . es una marca registrada de Sun icrosystems, nc#, utilizada bajocia para la tecnologBa in%entada e implementada por &etscape# SAP *ogo, 9 6 2, 9 8A, 9 6 !, SAP Archi%e*in de SAP 3usiness /or flo+,lo+, SAP 0arly/atch, 3AP , SAPP@ 90, anagement Coc pit, mySAP#com

o y mySAP#com son marcas comerciales o marcas comerciales registradas de SAP A" enmania y en %arios otros paBses en todo el mundo# $odos los productos de otroscionados son marcas comerciales o marcas comerciales registradas de sus respecti%as compaDBas#

uncias materiales son proporcionados por SAP E$A* CUA*E, F SAP0SA 0&$0 90&U&C A A CUA*1U 09 "A9A&$GA, 0:P90SA 5 AP* CA4A,

C*UF0&45 S & * $AC H&, *AS "A9A&$GAS 40 C5 09C A* IAC H& F&0 4A4 PA9A U& P95PHS $5 PA9$ CU*A9, C5& 90SP0C$5 A 0S$0 A$09 A*S098 C 5, &=59 AC H&, $0:$5, "9J= C5S, 0&*AC0S 5 CUA*1U 09 5$9Ariales y productos incluidos en ella# 0& & &"K& CAS5 S09J SAPP5&SA3*0S P59 4AL5S 4 90C$5S, &4 90C$5S &4 90C$5, 0SP0C A*, &C 40&$A*,

U& $ 85S 40 CUA*1U 09 $ P5, &C*UF0&45 S &$AC H& PM94 4A 40 &"90S5S 5 PM94 4A 40 30&0= C 5S, 1U0 PU040 90SU*$A9 40 *A40 0S$5S A$09 A*0S 5 C5 P5&0&$0S 40* S5=$/A90 &C*U 45#



Acerca de este Manual manual tiene por objeto complementar la presentaci'n con instructor

este curso, y ser%ir como una fuente de referencia# &o es adecuado parao-estudio#nvenciones tipogr !icascon%enciones tipogr>ficas siguientes se utilizan en esta guBa#

o de estilomplo de te)tocripci'n

abras o caracteres (ue aparecen en la pantalla#os incluyen los nombres de campo, los tBtulos de pantalla,sadores, asB como los nombres de menN, rutas yiones#

mbiOn se utiliza para referencias cruzadas a otrosumentaci'n tanto interna en esteumentaci'nQ y e)terna en otros lugares,s como SAP&etQ#mplo de te)to

P*5 40 $0:$5abras (ue se destacan o frases en te)to, los tBtulosgr>ficos y tablasnombres de los elementos en el sistema# 0stos incluyen

mbres de informe, nombres de programa, c'digos de transacci'n,nombres de tabla y palabras cla%e de unguaje de programaci'n, cuando forman partee)to, por ejemplo S0*0C$ e &C*U40#talla de salida# 0sto incluye archi%os y directorios

mbres y sus rutas, mensajes, nombres deriables y par>metros, y pasajes de lae)to de c'digo de un programa#rada e)acta del usuario# 0stas son las palabras y caracteresintroduce en el sistema tal y comorecen en la documentaci'n#rada de usuario 8ariable# *os corchetes indicansustituya estas palabras y caracteres conadas apropiadas#

mplo de textomplo de textoemplo Texto>033 S/* /, Todos los derechos reser1ados



ca de este ManualM950nos en el te"to principalsiguientes iconos se utilizan en este manual#nonificadoa obtener m>s informaci'n, consejos o fondoa o e)plicaci'n del punto anterior

epci'n o precauci'ncedimientos

dica (ue el elemento se muestra en laructor de presentaci'n#

3 S/* /, Todos los derechos reser1ados03



Contenidoón glo$al del curso %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %%%%eti1os del curso 1iieti1os del curso 1iiiidad '( Introducción a la Auditor)a de Seguridad Interna %%%%%%%%%%%%%%%%%% 'S/* Siste%a de Seguridad: b eti1os 4 56todos 2idad *( +a Auditor)a de Sistemas de In!ormación SAP , SAP -trosamientas de monitoreo de seguridad %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%7iguración 4 utili8ación del Siste%a de In7or%ación de /uditor a 23

7iguración 4 9so de las herra%ientas de auditor a de seguridad &2idad /( +a protección de los sistemas a trav s de usuarios1 roles1 , autori2aciónntenimiento %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %%%%%%trol de acceso a los códigos de transacción tablas 4ogra%as ;2de los registros de segui%iento de la a+licación (2<onali8ación de las herra%ientas de %anteni%iento de rol en S/* Solutions (&2ual de *rotección 4 /d%inistración de ,ru+o ())idad 4( i6ación de los sistemas de producción %%%%%%%%%%%%%%%%%%%%%%%%%%%%%% **/ón del Ca%bio 4 Seguridad 22&urando los ser1icios de ad%inistración del siste%a de +roducciónte%as 2&'ndice '( Mesa de tra$a6o de administración de licencias , +icense

vicios de Auditor)a1 SAP AG %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% /'/ndice *( +icencia Administración 7or8$ench%%%%%%%%%%%% /*/dice %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%033 S/* /, Todos los derechos reser1ados



enidoM950




Resumen del Curso curso tratar> sobre las herramientas disponibles para garantizar la seguridad del sistemaeja con precisi'n las polBticas de seguridad de su compaDBa# 8amos a discutir c'moa utilizar el Sistema de nformaci'n de AuditorBa para realizar una auditorBa del sistema completo#

mbiOn %amos a hablar de los ser%icios del sistema (ue deben ser debidamente protegidosun entorno de producci'n#get Audience curso est> dirigido a los siguientes usuariosR

ditores de sistemas de seguridadadministradores de seguridad

erre;uisitos del cursoonocimiento re;uerido

P$0C - SAP &et/ea%er Solution =undamentals? - mySAP &et/ea%er Administraci'n

nocimientos recomendados

e)periencia con los problemas de seguridad

nceptos de autorizaci'ntalles del Curso Duracióndad ?Rroducci'n a la AuditorBa de Seguridad nternaySAP Sistema de SeguridadR 5bjeti%os y Otodosminutosdad 2R *a AuditorBa de Sistemas de nformaci'n SAP Seguridad SAP y 5trosrramientas de super%isi'nonfiguraci'n y uso de la informaci'n de auditorBa

; minutesSystem7 minutesConfiguring y Uso de las herramientas de auditorBa de seguridad

dad !R *a protecci'n de los sistemas a tra%Os de usuarios, roles, y autorizaci'ntenimiento

ontrol de acceso a los c'digos de transacci'n, esas,7 minutesand Programas< 9egistros minutesUsing para controlar la aplicaci'n

rsonalizaci'n de las herramientas de mantenimiento de roles en mySAP< minutesSolutions

033 S/* /, Todos los derechos reser1ados



men del CursoM950ual de Protecci'n y Administraci'n de "rupodad <R Seguridad de los Sistemas de Producci'nsti'n del Cambio y Seguridadegurando los ser%icios de administraci'n del sistema enistemas de Producci'nminutosminutosminutos

6etivos del curso curso te prepara paraR

ntificar y proteger los datos confidenciales en los sistemas de producci'nice la AuditorBa SAP Sistema de nformaci'n para la estructura y lle%ar a cabo unaitorBa de seguridad completa

nfigure la super%isi'n de seguridad importante y mecanismos de localizaci'nnfiguraci'n est>ndar de SAP herramientas de mantenimiento del papel para producir ecBficos de la empresa, con seguridad mejorada roles y perfiles de autorizaci'ngurar mecanismos de gesti'n del cambio en el sistema de producci'najesgure las herramientas de administraci'n del sistema contra el uso indebido

6etivos del cursopuOs de completar este curso, usted ser> capaz deR

ntificar y proteger los datos confidenciales en el sistema de producci'nmuestre el uso del Sistema de nformaci'n de AuditorBa a la estructura y

izar una auditorBa de seguridad completanfiguraci'n est>ndar de SAP herramientas de mantenimiento del papel para producir ecBficos de la empresa, con seguridad mejorada roles y perfiles de autorizaci'ngurar mecanismos de gesti'n del cambio en el sistema de producci'najesgure las herramientas de administraci'n del sistema contra el uso indebidot=are SAP In!ormación so$re los componentesnformaci'n contenida en este curso se refiere a lo siguiente soft+are SAP

mponentes y %ersionesRnfo(ue de este curso no es enseDar c'mo se configura la seguridad yntenido en soluciones SAP, sino m>s bien, la forma de garantizar (ue la seguridad esblecido y mantenido de acuerdo con las polBticas empresariales establecidasocedimientos# 0ste curso proporcionar> algunas orientaciones generales yi3 S/* /, Todos los derechos reser1ados03



M950men del Curso

P recomendaciones para la seguridad del sistema, sin embargo, el curso hacemitir a las empresas diferentes para elegir diferentes ni%eles de seguridad del sistemalementaci'n#

general, este curso se centra m>s en la perspecti%a del auditor#ue debe buscar, aspectos a considerar en la re%isi'n de seguridad del sistema#9C C 5 40 C5&= "U9AC H&R

ed tendr> (ue utilizar IUS9 para crear A4 ; -T T 4 de usuario para elinicios de sesi'n inicial del alumno# 0stos usuarios pueden tener acceso amplio#dem>s datos necesarios para la clase ya debe estar creado parad# *os datos (ue deben e)istir se indica en la tabla a continuaci'n#a unidad A S, los estudiantes crear>n "9P T T-AU4 $ usuarios# 0stosusuarios se utiliza para la mayorBa de los ejercicios# *a "9P T T-AU4 $ usuariodr>n el mismo acceso a un auditor en el sitio del cliente#

menos (ue se indi(ue lo contrario, se supone (ue todos los ejercicios despuOs de la unidad A Se realizarse lo "9P T T-AU4 $# 0s posible (ue desee a las estudiantes a salir como A4 ; -T T despuOs de la unidad A S, y de acceso s'lo

mo "9P T T-AU4 $#ejercicios se utilizan los caminos de menN proporcionados en el menN de usuario de

9P T T-AU4 $ usuario#

ontinuaci'n se resumen los usuarios y las funciones (ue deben ser establecidos antes dee comienzaRuarioA4 "9P-T Tel

A4 ; T T "0&09 CA4 ; T T =A4 ; T T APP95809 A4 "9P-T T

SA4 "9P-T TA4 ; T T "0&09 CA4 ; T T @9 A4 ; T T "0&09 C

A4 ; T T SFSA4A4 ; T T APP95809 033 S/* /, Todos los derechos reser1ados



men del CursoM950




&nidad 'troducción a la seguridad interna

Auditor)aa unidad consiste en una lecci'n (ue ofrece una %isi'n general del curso# curso se centrar> en las auditorBas de sistemas (ue se aplican a todas las soluciones de SAP,uyendo SAP 9 6 !, SAP AP5, C9 mySAP, SAP 3/, etc 0sta unidad se

cutir los objeti%os y prop'sitos de auditorBas de los sistemas y una %isi'n general de algunosas herramientas, incluyendo una bre%e re%isi'n de la P=C", (ue se puede utilizar#esta unidad se analizan los objeti%os y prop'sitos de la auditorBa del sistema y las herramientasVpuede utilizar# @ay una bre%e re%isi'n de P=C" transacci'n#idad de In!ormación general

a unidad describe los objeti%os de una auditorBa de seguridad# $ambiOn se analizan las herramientass ser%icios proporcionados por SAP para ayudar en la configuraci'n de seguridad y la seguridaditorBa#

6etivos de la &nidadpuOs de completar esta unidad, usted ser> capaz deR

nir las metas para las aplicaciones empresariales seguraslicar el prop'sito y los procedimientos para la realizaci'n de auditorBas de laema de seguridad interna de su sistemantificar las herramientas disponibles para la realizaci'n de auditorBas de la seguridad del sistemacribir el proceso de mantenimiento de la autorizaci'n y el papelntenidos de la unidadción: Seguridad %4S/* Siste%a: b eti1os 4 56todos 2e%ostración: /n>lisis de %en$s en +a+el 4 el %en$ de usuario (2e%ostración: /n>lisis /utori8aciones en +a+el 4 el %en$ de usuario (<




dad '( Introducción a la Auditor)a de Seguridad InternaM950

cción( Seguridad m,SAP Sistema( -$6etivos , M todosaci'n de la claseR < minutoss;ue6o de la leccióna lecci'n discute los objeti%os y mOtodos generales de seguridad del sistema#estudia la necesidad de la seguridad del sistema adecuado y la necesidad de'dico de auditorBas de la configuraci'n de seguridad del sistema#

esta lecci'n se ofrece una bre%e descripci'n de las herramientas disponibles al configurar ramientas de la seguridad y una introducci'n a utilizar al super%isar la seguridad# Por(uentenimiento rol es una parte crBtica de cual(uier implementaci'n de seguridad, lo haremosisar la herramienta de mantenimiento de funci'n y sus principales elementos y funciones#6etivos de la lección

puOs de finalizar esta lecci'n, el alumno ser> capaz deR

nir las metas para las aplicaciones empresariales seguraslicar el prop'sito y los procedimientos para la realizaci'n de auditorBas de laema de seguridad interna de su sistemantificar las herramientas disponibles para la realizaci'n de auditorBas de la seguridad del sistemacribir el proceso de mantenimiento de la autorizaci'n y el papela unidad se debe utilizar para establecer las e)pectati%as y poner un marco en el

e# 0sta unidad proporciona una %isi'n general muy alto ni%el de lo (ue est> por %enir enlase# 0ste curso no se realizar> un curso sobre c'mo configurar la seguridad, lo har>entra m>s en la forma de garantizar polBticas de la empresa se lle%an a cabo# &osotrosporcionar> algunas pautas especBficas para problemas especBficos de seguridad del sistema#emplo de <mpresased est> encargado de e%aluar y garantizar la seguridad de los datos de la empresaus sistemas SAP# Antes de empezar, es necesario definir sus objeti%os y

nificar su enfo(ue# Usted tambiOn necesita saber (uO tipo de informaci'n yeso debe ser garantizado# $ambiOn debe comprender los enfo(ues eficaceserramientas disponibles para hacer este trabajo#oteger las aplicaciones empresarialesn el uso cada %ez mayor de sistemas distribuidos para gestionar los datos empresariales, losencias en materia de seguridad tambiOn est>n en aumento# Cuando se utilizan sistemas distribuidos,d debe estar seguro de (ue sus datos y los procesos de soporte a su negocioesidades sin permitir el acceso no autorizado a la informaci'n crBtica# Usuario




M950ión( Seguridad m,SAP Sistema( -$6etivos , M todosres, negligencia, manipulaci'n o intento en el sistema debeesultar en la pOrdida de informaci'n o de tiempo de procesamiento# 0stas demandas sobreuridad se aplican a cada uno de sus sistemas SAP#empresa podrBa haber %arias soluciones SAP implementado, incluyendoP 9 6 !, SAP 3usiness nformation /arehouse SAP 3/Q, SAPtomer 9elationship anagement mySAP C9 Q y mySAP Supplier

ationship anagement mySAP S9 Q#ura '( Sistemas de SAPda sistema SAP responde a las necesidades de negocio diferentes y se compone de %arioscaciones, cada una de las cuales se debe configurar en el complejo y %ariandoenarios para responder a las e)igencias del entorno empresarial# Cada SAPema debe ser suficientemente seguro#033 S/* /, Todos los derechos reser1ados



dad '( Introducción a la Auditor)a de Seguridad InternaM950ura *( Secure >usiness en entornos a$iertosP ofrece soluciones (ue abarcan desde mySAP Customer 9elationshipagement mySAP C9 Q, mi SAP Supply Chain anagement mySAPQ, y mySAP Product *ifecycle anagement mySAP P* Q# Cada

uci'n SAP incluye funciones de seguridad especializados# *a solicituduridad en cada soluci'n SAP es caracterBstico de alguna manera# Por ejemplo,uridad de las aplicaciones en un entorno de mySAP C9 m'%il difiere decaci'n de seguridad en un entorno de mySAP S9 , lo (ue implicarBagurar los %endedores#n(ue SAP proporciona muchas soluciones y muchas aplicaciones, algunasamientos generales de seguridad deben seguirse en cada sistema SAP ya aplicaci'n# 0stas directrices de seguridad por lo general se aplicantroles internos#to el administrador de la seguridad y el auditor de seguridad (uieren asegurarsela seguridad en cada uno de sus sistemas SAP est> en lBnea con la seguridadpolBticas de su empresa#estudiantes deben saber (ue esta clase se centra en los problemas de seguridad (ue sonilar en todos los sistemas SAP# Casi todo lo discutido en este cursouede aplicar a la mayorBa de los sistemas de SAP# &osotros %amos a usar A S, por desgracia,funciones A S s'lo est>n disponibles en un sistema SAP 9 6 !# Sin embargo, laceptos e informes est>n disponibles, los estudiantes pueden descargar manualmente

argar las funciones A S en cual(uier sistema SAP# uchos de los subyacentegos de transacci'n e)isten en todos los sistemas#aR 0n esta clase se centrar> en los conceptos de seguridad y la seguridad

os ser%icios del sistema (ue son similares en todas las soluciones SAP#3 S/* /, Todos los derechos reser1ados03



dad '( Introducción a la Auditor)a de Seguridad InternaM950bjeti%o de los pr')imos tres puntos de la bala es establecer las bases para el cursooporcionar una %isi'n general de alto ni%el de lo (ue %amos a estar cubriendo en cadaas unidades#P ofrece los siguientes ser%icios para la autenticaci'n de usuariosR

las de contraseDanitoreo de intentos de inicio de sesi'n no autorizadosmo reacci'n a los intentos de inicio de sesi'n no autorizadosa autenticaci'n de usuarios, SAP ofrece reglas de contraseDa (ue los usuarios deben seguir#

mbiOn %igilamos acti%amente los intentos de inicio de sesi'n autorizados# Adem>s, podemos%amente reaccionar a un intento de inicio de sesi'n no autorizado#a lista con %iDetas a continuaci'n nos referimos a los estados 809 *A AU$59 4A4-

el c'digo, los c'digos de transacci'n P=C", SU y S$ ?#P ofrece los siguientes ser%icios para la protecci'n de la autorizaci'nR

oridad de controlel herramienta de mantenimientoorizaci'n de Sistema de nformaci'nza herramientasa autorizaci'n de protecci'n, SAP ofrece comprobaciones de autoridad (ue se producentro de todos los sistemas SAP# $ambiOn ofrecemos una herramienta de mantenimiento de papel, (ue esizado para construir las autorizaciones correspondientes#estro Sistema de nformaci'n de autorizaci'n puede ser utilizada para la in%estigaci'n actualorizaciones y los problemas de depuraci'n de autorizaci'n# *a herramienta de seguimientomite realizar un seguimiento especBfico de autorizaci'n, (ue enumera cadaeto de autorizaci'n re(uerido para una funci'n especBfica#P ofrece los siguientes ser%icios de auditorBa y registroR

ditorBa del Sistema de nformaci'nistro de auditorBa de seguridad

icaci'n y los registros de la tablaistema de nformaci'n de AuditorBa soporta tanto las auditorBas de negocios y el sistemaitorBas# 0sta soluci'n basada en roles proporciona ayuda en lBnea para los auditores yguBa a tra%Os del proceso de creaci'n de una auditorBa a fondo#




M950ión( Seguridad m,SAP Sistema( -$6etivos , M todosegistro de auditorBa de seguridad es principalmente para el auditor del sistema# 0sta auditorBastro es similar al registro del sistema, (ue registra las acciones y e%entos (ue pueden ser

alu' en un momento posterior# 0l registro de auditorBa se puede configurar para registrar los datos (uem>s importante para usted#os registros de aplicaci'n y los registros de la tabla pueden ser utilizados segNn sea necesario para iniciar iones especBficas (ue se producen en el sistema#ga en cuenta (ue el factor m>s importante en la prestaci'n de la seguridad del sistemau propia polBtica de seguridadY *e recomendamos (ue dedi(ue tiempo suficienteignar los recursos de sobra para poner en pr>ctica su polBtica de seguridad y

ntener el ni%el de seguridad (ue desea#polBtica de seguridad debe responder a las siguientes preguntasR

uiOn es el responsable de la seguridad de $ WuO hay (ue protegerWuiOn est> atacandoWu>l es el riesgoWuO mecanismos de protecci'n son necesariasWuO procedimientos se aplicanWu>nta protecci'n puede pagarW6eto , Procedimientos de Auditor)as de Seguridad

de suma importancia para la seguridad para habilitar y reforzar la seguridad de su empresaBticas# *a realizaci'n de una auditorBa del sistema a fondo puede ayudar a asegurar (ue estosBticas se obser%an en su suite de productos de SAP# Cuando se realiza unaditorBa del sistema de seguridad, usted debe considerar %arias cuestionesR

roles asignados al usuario consistente con el usuario (ue se re(uiere%idadesWl inicio de sesi'n remoto y las funciones asignadas de conformidad con la necesariaiones y acti%idadesWa seguridad est> super%isando constantementeWmo funciona el administrador de seguridad saber cu>ndo una amenaza de seguridadha ocurridoW

a herramienta de mantenimiento de papel configurado para proporcionar un %alor m>)imoWt> aplicaciones crBticas y mesas registrar de acuerdo con la empresa

BticasWmo es la seguridad in%olucrado en los cambios (ue se migran a la producci'nW

as autorizaciones del sistema para cada usuario implementadorectamenteWos usuarios administrados de acuerdo con las polBticas corporati%asW033 S/* /, Todos los derechos reser1ados



dad '( Introducción a la Auditor)a de Seguridad InternaM950ten %arias herramientas para ayudar a proporcionar respuestas a las preguntas (ue

gir durante una auditorBa de seguridad del sistemaR

ditorBa del Sistema de nformaci'norizaci'n de Sistema de nformaci'nema de registro de auditorBa

mputer anagement Center Alertas del sistemaza herramientasel herramienta de mantenimientoecci'n siguiente trata de la principal herramienta para el control de acceso de seguridad enemas SAP, la herramienta de mantenimiento de papel#l .erramienta de Mantenimientorole mantenimiento de la herramienta P=C" transacci'nQ es la principal herramienta utilizada parati'n y control de acceso de seguridad en todos los sistemas SAP# Puede acceder a esteramienta mediante la introducci'n de P=C" transacci'n o eligiendo en el menN nstrumentos→ministraci'n→ antenimiento por el usuario→ =unci'n Administraci'n→ 9oles# *adiciones papel de la administraci'n y papel mantenimiento Se introdujeron en <#7C#%ersiones anteriores, el tOrmino acti%idad de grupo se utiliz'#

administradores de seguridad utilizar la herramienta de mantenimiento de papel para crear yntener todas las funciones y accesos de seguridad# 4esde la perspecti%a del auditor, esdamental para entender c'mo funciona la herramienta y c'mo e%aluar si la herramienta sendo utilizado tan eficazmente como sea posible#esta clase no se preocupan de c'mo usar la herramienta# 0n su lugar,en (ue %er con la forma de e%aluar los roles (ue se han creado yla forma de garantizar la herramienta se utiliza para proporcionar funciones (ue responden a la

polBticas de seguridad de la empresa#s componentes de la .erramienta de Mantenimiento Papelherramienta de mantenimiento de papel transacci'n P=C"Q tiene tres componentes principalesRnN, autorizaciones y usuarios#




M950ión( Seguridad m,SAP Sistema( -$6etivos , M todos

ura /( Principales componentes de la herramienta unción de mantenimientoenN porci'n contiene la %ista de negocio de lo (ue se re(uiere para la

el# Contiene los c'digos de transacci'n, informes, direcciones /eb, carpetas yminos de menN el usuario puede necesitar# *a *as autorizaciones porci'n contiene laetos reales de autorizaci'n y los %alores de autorizaci'n (ue se re(uierena apoyar el menN#*as autorizaciones porci'n contiene los %alores de autorizaci'n tOcnicas (uenecesarias para apoyar el prop'sito de negocio de la funci'n como se describe en la

nN# *a porci'n de autorizaciones tambiOn incluye la organizaci'n e)actaora un usuario puede acceder aR organizaciones de %entas, centros de coste, plantas, di%isiones,B sucesi%amente#

Usuarios parte se enumeran todos los (ue tienen el papel, sino (ue puede incluir usuario SAPntificaciones, asB como las posiciones, puestos de trabajo, y otros enlaces de un plan de organizaci'n#y una demo al final de la secci'n del menN, es posible (ue desee hacer emostraci'n como eres conferencias# ira el $ A4 ; papel T T @9 yie sesi'n como @9A4 "9P-T T#o del men P CG

mo se indic' anteriormente, la enN parte contiene los c'digos de transacci'n, informes,direcciones /eb, carpetas y rutas de los menNs (ue el usuario pueda necesitar# *a enNa se puede utilizar para construir la apariencia para el usuario# Usted puede construir propias carpetas, utilice rutas de los menNs creados por SAP, o hacer una combinaci'n de

petas y carpetas de SAP#033 S/* /, Todos los derechos reser1ados



dad '( Introducción a la Auditor)a de Seguridad InternaM950ura 4( Porción Men de Papelempresas %arBan mucho de c'mo utilizar el menN# Algunas compaDBasrBa utilizar el menN s'lo para proporcionar informaci'n a las autorizaciones# Un SAPema puede ser configurado de manera (ue cuando el usuario inicia sesi'n en el sistema, laario %e sus menNs indi%iduales menNs de usuarioQ (ue pro%ienen de lael, o puede estar configurado de manera (ue el usuario %e siempre el menN est>ndar porcionada por SAP# ientras (ue SAP proporciona la opci'n de menNs de usuario, muchosempresas siguen optando por usar el menN est>ndar de SAP# SegNno las funciones se configuran, (ue podrBa ser mucho m>s f>cil desde un mantenimientospecti%a para todo el mundo para usar el menN est>ndar de SAP#ura 5( Men del &suariomenN de usuario s'lo se muestran los elementos del menN (ue pro%ienen de los roles asignadosa el usuario# 0n contraste, el menN SAP enumera todos los caminos de menN, inclusol usuario no tiene acceso a un >rea en la ruta del menN#





ura ?( Men SAP StandardaR 8arias estrategias se pueden utilizar si se est> implementando usuario

nNs# Algunas de estas estrategias incluyen el uso de funciones compuestas,a%Os de la eliminaci'n de duplicados SS CUS$ mesa, y el uso de deri%adosciones cuando sea posible# Para obtener m>s informaci'n, %Oase la nota SAP ! Z7;!,itar la redundancia en 0asy Access# A4 ;< discute estea en detalle#Q

em>s, algunas compaDBas a implementar enN funciones en lugar deorizaci'n roles# 9oles de autorizaci'n significa (ue habr> %arias funciones

enN parte en absoluto#iguiente es un ejemplo m>s detallado de cuando una empresa podrBa utilizar ciones de autorizaci'n# 0ste mismo ejemplo es en las notas de los alumnos, pero en el casoreguntas, el siguiente es un ejemplo m>s detallado#

mos a echar un distrito escolar# Un distrito escolar cuenta con escuelas# Cada escuelaepresenta en el SAP en una planta# Un comprador, gerente de la oficina, lo (ue sea, tieneeso s'lo a su escuela# X1uO puede hacer un comprador es el mismo en todosuelas, la Nnica diferencia es (ue la escuela puede tener acceso#el distrito escolar no es una buena analogBa para su >rea, y luego tomar un poco deocio (ue podrBa tener muchas plantas -# fabricantes, por ejemploQos los compradores tendrBan un papel (ue contiene todas las rutas de menN yo lo (ue es comNn para todos los compradores por ejemplo, c'digo de transacci'n? crear solicitud de compraQ, 02? crear la orden de compraQ# papel comNn tiene todo en Ol, pero no cuenta con los

etos de autorizaci'n (ue se refieren especBficamente a la planta por ejemplo,

A$0 /9[Q#da comprador tiene su propio papel con los objetos de la planta ejemploA$0 /9[Q - este rol de autorizaci'n contiene informaci'n especBfica sobre la (ue

ntas, el usuario puede acceder#033 S/* /, Todos los derechos reser1ados



dad '( Introducción a la Auditor)a de Seguridad InternaM950ed puede ser sorprendido por la cantidad de clientes usar esta aplicaci'n -chos consideran (ue es m>s f>cil de mantener (ue las funciones deri%adas# 0sto, por supuesto, escuesti'n de opini'n - opiniones consultor puede %ariar muchoQ#

mos a utilizar el ejemplo de una empresa con plantas# 0l papel para el comprador muy similar en todos los plantas# *a principal diferencia es (ue la plantaomprador debe acceder# Para implementar la seguridad en esta tarea, una empresade utilizar las funciones deri%adas o roles de autorizaci'n# Si roles de autorizaci'n seizado, cada comprador tendr> dos roles# *a funci'n primera contendrBao lo (ue es comNn a todas las plantas, incluyendo todas las rutas de menN necesarios#egundo papel podrBa contener s'lo el acceso a objetos de autorizaci'n (ueuir el campo de las plantas# Cada comprador tendrBa un papel con los %alores de suplanta# Si los cambios en la planta, s'lo el papel para (ue el comprador debe ser

ualizada#de una perspecti%a de la auditorBa, la aplicaci'n sin menNs de usuario esptable# mplementaci'n con el menN est>ndar de SAP tambiOn es aceptable#elecci'n de la aplicaci'n de los menNs de usuario no afecta a la auditorBa#%alores de autorizaci'n son de interOs mucho m>s (ue un auditor del sistema#ido a (ue los %alores de la autorizaci'n permiten (ue la seguridad real de lo (ue es unario puede ejecutar, es difBcil hacer una declaraci'n de (ue todas las empresas

mpre debe aplicar enN roles# $ambiOn es difBcil hacer unalaraci'n de (ue todas las empresas deben utilizar los menNs de usuario#mo m>s y m>s aplicaciones utilizan una interfaz no tradicionales usuario SAPAP "U Q, como una interfaz basada en la /eb, tiene sentido para poner en pr>cticanNs de usuario# Si, por ejemplo, un usuario introduce SAP a tra%Os de un portal, menNs de usuariotribuir a perfeccionar y diseDar una p>gina +eb (ue permite el acceso a las transacciones SAP#este curso nos centraremos en los menNs de usuario, especialmente cuando se realizanacti%idades de auditorBa# *a AuditorBa del Sistema de nformaci'n se implementa como une de funciones basadas en menNs# Con el fin de ma)imizar el uso de la AuditorBaema de nformaci'n, el auditor tiene (ue utilizar los menNs de usuario (ue son

mpre con el Sistema de nformaci'n de AuditorBa#mostración( Men de Instrucción de unciones , de usuario

enpósitobjeti%o de esta demostraci'n es %er un menN en un papel, y luego %er

mo se %e en el momento de inicio de sesi'n cuando se asigna a un usuario# Adem>s, %er c'mo%e cuando mNltiples roles se asignan al usuario#




M950ión( Seguridad m,SAP Sistema( -$6etivos , M todosos del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioRmisma (ue la clasentraseDaRmisma (ue la claseablecer instruccionesR0s posible (ue tenga (ue restablecer la contraseDa de

T T-@9A4ngrese P=C" en el campo de comandos y e)aminar el papel

$ A4 ; T T @9# 5bser%e la funci'n de menN# SeDale c'mo el menNno s'lo afirma la transacci'n c'digos 6 informes de las necesidades de los usuarios, pero$ambiOn proporciona el aspecto general y la sensaci'n si la empresa est> utilizando usuario

enNsQ#

er%e la asignaci'n de usuario para "9P T T-@9A4 # 0s posible (ue deseeidamente restablecer la contraseDa de los usuarios de todo#cie sesi'n como "9P T T-@9A4 y obser%e c'mo los roles de usuario aparecer>#unos de los participantes pueden utilizar los menNs de usuario, otros no# Paraclase, %amos a utilizar los menNs de usuario#

ercicio de las autori2aciones P CG*as autorizaciones parte contiene los objetos de autorizaci'n y realesores de autorizaci'n (ue se concede a un usuario# 4esde una perspecti%a de auditorBa, estal >rea principal de nuestro enfo(ue# *a *as autorizaciones parte (ue permiter las acciones reales de un usuario ha sido concedido#ura @( +a autori2ación de un papel033 S/* /, Todos los derechos reser1ados



dad '( Introducción a la Auditor)a de Seguridad InternaM950a auditorBa a fondo de las autorizaciones se re(uiere a fin de asegurar unaeso de los usuarios es coherente con las acti%idades diarias re(ueridas de un usuario# *aorizaciones incluyen el objeto de autorizaci'n especBfico de clase, la autorizaci'neto, y la autorizaci'n de los %alores (ue el usuario puede tener acceso#de el punto de %ista del auditor del sistema, objetos de autorizaci'n permiteneso a datos especBficos en un sistema SAP# Usted necesita asegurarse de todos sensiblesetos de autorizaci'n est>n debidamente garantizados#o largo de este curso, utilizaremos transacci'n P=C" al e%aluar uridad y realizar las tareas de auditorBa# Siempre %amos a estar preocupados con

mprensi'n de los %alores especBficos de autorizaci'n (ue se ha concedido aarios especBficos#re(uisito pre%io para esta clase es el A4 ? # *os estudiantes deben saber (uOobjeto de autorizaci'n es, c'mo funciona y c'mo funciona la seguridad en SAP eneral# Sin embargo, si recibe muchas preguntas a(uB, puede ser necesario dar un paso

paldar y asegurar (ue todos tengan un buen conocimiento de la autorizaci'netos#mostración( An lisis Autori2aciones en papel ,

en del usuariopósitorop'sito de esta demostraci'n es mirar a las autorizaciones en un papel#

em>s, %er c'mo se %e cuando se asignan %arias funciones para el usuario#os del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioRmisma (ue la clasentraseDaRmisma (ue la claseablecer instruccionesR4ebe restablecer la contraseDa de "9P T T-=

r a P=C", mira el papel $ A4 ; T T @9# d a la*as autorizaciones porci'n#

ienda sus nombres tOcnicos eligiendo Utilidades→ &ombres tOcnicos

stre a los estudiantes sus nombres tOcnicos siempre se mantendr>n por gir Utilidades→ Configuraci'n→ ostrar nombres tOcnicos→ "uardar#





e la clase de objeto de autorizaci'n, Cross-Solicitud de Autorizaci'n deetos# SeDale el objeto de autorizaci'n S $C540 y c'motege a los c'digos de transacci'n (ue el usuario puede acceder#posible (ue desee hablar de eso hablaremos objeto de autorizaci'n ens detalle m>s adelante en el curso#

e la clase de objeto de autorizaci'n, 3ases - 4esarrolloio Ambiente# SeDale el objeto de autorizaci'n S P95"9A # 0sta

un objeti%o importante (ue se discutir> m>s adelante en el curso#mostraci'n de c'mo obtener ayuda acerca de un objeto de autorizaci'n, haga doble clic en

de los objetos de autorizaci'n#

Plan de tra$a6o para este cursoed %er> las dos preguntas siguientes en cada unidad# Por fa%or, use estosguntas para encuadrar el debate y ayudar a los estudiantes saben por (uO>n discutiendo cada tema y c'mo se les ayudar> en sus auditorBas#ante este curso %amos a abordar dos cuestiones principalesR

uO herramientas SAP proporcionan para mB para lle%ar a cabo una auditorBa de sistemaWealizar una auditorBa del sistema, X(uO debo tener en cuentaWante cada lecci'n de este curso, se lo haremos saber cu>l es la pregunta (ueirigen y (uO SAP recomienda hacer para realizar un minuciosoema de auditorBa#033 S/* /, Todos los derechos reser1ados



dad '( Introducción a la Auditor)a de Seguridad InternaM950scusión acilitadarop'sito de esta discusi'n facilitada es re%isar los instrumentos disponiblesa las auditorBas, la herramienta de mantenimiento de papel, y el prop'sito de las auditorBas#eguntas para el de$ate

las siguientes preguntas para in%olucrar a los participantes en la discusi'n#ntase libre de utilizar sus propias preguntas#siguientes son preguntas (ue podrBa plantearR

uO tipos de preguntas de auditorBa del sistema surgen independientemente de la SAPema est> auditandoWu>les son algunas de las herramientas SAP ofrece en todos los productos de SAP para ayudar en laema de auditorBasWu>les son los componentes principales de la herramienta de mantenimiento de papelW XPor (uO esmportante entender c'mo utilizar esta herramientaWuO hace su empresa espera de usted como auditor del sistemaW X1uOe su empresa espera de usted como un administrador de seguridadW




M950ión( Seguridad m,SAP Sistema( -$6etivos , M todossumen de la lecciónora deberBa ser capaz deRefinir las metas para las aplicaciones empresariales seguras)plicar el prop'sito y los procedimientos para la realizaci'n de auditorBas de laistema de seguridad interna de su sistemadentificar las herramientas disponibles para la realizaci'n de auditorBas de la seguridad del sistemaescribir el proceso de mantenimiento de la autorizaci'n y el papelormación relacionada

R66ser%ice#sap#com6securityR66ser%ice#sap#com6securityguide

P &ote ! Z7;!, e%itar la redundancia en el menN 0asy Accessa SAP ! Z2<, Protecci'n de datos y seguridad de los sistemas SAP

P &ote !\;7Z , menNs mportar usuarios desde un archi%o033 S/* /, Todos los derechos reser1ados



men de la unidadM950sumen de la unidadora deberBa ser capaz deRefinir las metas para las aplicaciones empresariales seguras)plicar el prop'sito y los procedimientos para la realizaci'n de auditorBas de laistema de seguridad interna de su sistemadentificar las herramientas disponibles para la realizaci'n de auditorBas de la seguridad del sistemaescribir el proceso de mantenimiento de la autorizaci'n y el papel




M950e su conocimiento

al e su conocimientopolBticas de seguridad son creados por el e(uipo de seguridad de forma aisladade el e(uipo de negocios#rminar si esta afirmaci'n es cierta o falsa#daderoso

P ofrece muchos tipos de sistemas y aplicaciones# Cada tipo de SAP

ema mySAP C9 , SAP 3/, SAP 9 6 !, mySAP S9 , SAP AP5Qan %ariada (ue los sistemas no comparten las herramientas de seguridad o la seguridad%icios#rminar si esta afirmaci'n es cierta o falsa#daderoso

siguientes herramientas est>n disponibles para la realizaci'n de sistema completoitorBas de seguridad#e la respuesta correcta sQ#

el herramienta de mantenimientoema de registro de auditorBaS de alerta de seguridad

rramientas del sistema de seguimientousuarios y los sistemas de informaci'n autorizacionesas las anteriores033 S/* /, Todos los derechos reser1ados



&nidad *a auditor)a de in!ormación del sistema SAPros de Seguridad , #igilancia SAP

Instrumentosecci'n describe c'mo configurar y utilizar A S, registro de auditorBa, seguridad CC Stas#idad de In!ormación general

a unidad e)plica c'mo configurar y c'mo utilizar las herramientas disponibles para trabajar una auditorBa de seguridad del sistema# 8amos a discutir configuraci'n y uso de la

ditorBa del Sistema de nformaci'n, el registro de auditorBa, y las alertas de seguridad CC S#6etivos de la &nidadpuOs de completar esta unidad, usted ser> capaz deR

cribir el objeti%o del Sistema de nformaci'n de AuditorBa A SQnfigurar y asignar funciones A S y autorizacionesmostrar la capacidad de na%egar y usar las funciones A S

ntificar los re(uisitos para la configuraci'n del registro de auditorBa de seguridadmostrar c'mo leer el registro de auditorBa de seguridadmuestre el uso del monitor de alerta de seguridad en CC Sntenidos de la unidadción: Con7igurar 4 utili8ar el Siste%a de In7or%ación de /uditor a 23e%ostración: Con7iguración de Funciones +ara la auditor a del Siste%a 3'ercicio (: Con7iguración de /IS +or un /uditor de Siste%as <(

ción: Con7iguración 4 9so de las herra%ientas de auditor a de seguridad &2e%ostración: Vea los +ar>%etros de instancia &'ocedi%iento: El %anteni%iento de 7iltros est>ticos '0033 S/* /, Todos los derechos reser1ados



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950edi%iento: Con7iguración de 7iltros din>%icos '2edi%iento: De7inir 7iltros '<

%ostración: De%ostrar encender un 7iltro din>%ico '&edi%iento: Visuali8ación del In7or%e de an>lisis de auditor a ')

%ostración: =ea el ?egistro de auditor a de seguridad )0edi%iento: =a eli%inación de archi1os antiguos de /uditor a )(

%ostración: Vea la +lantilla +ara la Seguridad en ?@20 )<edi%iento: Visuali8ación de alertas de seguridad )&rcicio 2: 9so del registro de auditor a 4 su+er1isión CC5S );




M950ión( Con!igurar , utili2ar el Sistema de In!ormación de Auditor)a

cción( Con!igurar , utili2ar la in!ormación de auditor)aS,stem'3

aci'n de la claseR ; minutoss;ue6o de la lecciónesta lecci'n se analiza la configuraci'n y uso de la informaci'n de auditorBaema# Se discute el prop'sito del Sistema de nformaci'n de AuditorBa y de larencia entre un sistema de auditorBa y la auditorBa empresarial# $ambiOn se discuteo configurar el Sistema de nformaci'n de AuditorBa y c'mo usarla paraema de auditorBas#

6etivos de la lecciónpuOs de finalizar esta lecci'n, el alumno ser> capaz deR

cribir el objeti%o del Sistema de nformaci'n de AuditorBa A SQnfigurar y asignar funciones A S y autorizacionesmostrar la capacidad de na%egar y usar las funciones A Sn(ue la atenci'n se centra en la auditorBa del sistema de A S, %amos a hablar de laacidades de negocio y la configuraci'n re(uerida para el sistema y el negocioitorBas# *os estudiantes se les pedir> (ue configure una funci'n A S para un sistema deitor# Si tenBan el re(uisito pre%io A4 ? , deben ser capaces de crear usuario y una funci'n# Sin embargo, si no han tenido mucha e)periencia, (uee fomentar el uso de las soluciones en el ejercicio#jercicio de esta unidad es crBtico, sino (ue se utilizar> en todas las otras lecciones# 0nlecci'n los estudiantes crear>n su usuario final auditor, "9P T T-AU4 $,

ear los papeles utilizados por dicho usuario final# A medida (ue el curso a%anza, laestudiantes realizar>n las funciones de auditorBa como el "9P T T-AU4 $ usuario#ga en cuenta (ue el A S est> disponible s'lo en un SAP 9 6 !# uchos de losc'digos de operaciones subyacentes est>n disponibles en todos los sistemas SAP, pero elciones A S se proporcionan s'lo en un SAP 9 6 !#emplo de <mpresased est> encargado de e%aluar y garantizar la seguridad de los datos de la empresaas soluciones de SAP# 4ecide utilizar el Sistema de nformaci'n de AuditorBaramientas para lle%ar a cabo una auditorBa completa y estructurada de la seguridad del sistema en supresa#es de utilizar el Sistema de nformaci'n de AuditorBa, es necesario comprender sup'sito y alcance, asB como la forma de configurarlo#033 S/* /, Todos los derechos reser1ados



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950estro Plan de tra$a6o para esta lección

a lecci'n cubre las herramientas de SAP pre%O la realizaci'n de una auditorBa del sistema#istema de nformaci'n de AuditorBa es especBficamente para auditores de sistemas# Se debefigurarse antes de poder comenzar la auditorBa#

opósito del Sistema de In!ormación de Auditor)aAuditorBa del Sistema de nformaci'n A SQ es una herramienta de auditorBa (ue puede ser a analizar aspectos de seguridad de su sistema SAP en detalle# *aditorBa del Sistema de nformaci'n mejora la calidad de la auditorBa y la auditorBa racionalizatodos#istema de nformaci'n de AuditorBa es una colecci'n de programas y operaciones

porcionada por SAP# 0stos programas y las transacciones se organizan en unao(ue basado en funciones#istema de nformaci'n de AuditorBa est> diseDado para cumplir con las normas de auditorBas re(uisitos de auditorBa tanto interna como e)terna#

ura 3( #ista general de Auditor)a del Sistema de In!ormaciónde la perspecti%a del auditor, debe planificar sus auditorBas, ejecutar tantoemas y las auditorBas de negocios, y hacer un an>lisis de los resultados de la auditorBa# *aditorBa del Sistema de nformaci'n (ue permite obtener los datos de las tablas de SAPue se necesita para (ue usted haga su an>lisis# 0n la auditorBa de negocios, usted puedeizar la e)portaci'n de datos a utilizar en sus sistemas de auditorBa#





esta clase se centrar> en la realizaci'n de auditorBas de los sistemas, no %amos a discutir itorBa desde una perspecti%a empresarial#ura 9( <ntorno de Auditor)aistema de nformaci'n de AuditorBa se basa en las normas de auditorBa y

uisitos de los auditores internos y e)ternos#l libro mayor se est> utilizando para una auditorBa de negocios, un registro completoodas las transacciones contables e)iste dentro del Sistema de nformaci'n de AuditorBa#informe de los procedimientos indi%iduales est> disponible en cual(uier momento en tiempo reallos siguientes elementosR

ance de situaci'n y cuenta de resultados P ] *Q de datoscuentas y las cifras de mo%imientosartBculos de lBnea y procesos




dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950ura '0( Grupos o$6etivooft+are de SAP se utiliza en todo el mundo# 4urante el desarrollo de la AuditorBaema de nformaci'n, se han tenido en cuenta las necesidades de auditorBaos distintos paBses y han cumplido con sus necesidades de la mejor manera posible# &osotrosan tenido en cuenta las necesidades de los auditores internos, auditores e)ternos,itores fiscales y oficiales de seguridad de datos#





ura ''( <l Sistema de In!ormación de Auditor)aistema de informaci'n de auditorBa consta de funciones (ue se utilizan para construir unN de usuario para el auditor# 0l uso de estas funciones, el auditor tiene acceso a toda la

P estructuras (ue necesitan ser analizados# Se incluye con las estructuras escceso a la ayuda en lBnea para ayudar en el proceso de auditorBa#ura '*( Documentación en el men de usuario033 S/* /, Todos los derechos reser1ados

@



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950os tipos de documentaci'n se incluyen en la informaci'n de auditorBaema# 0)iste documentaci'n especBficamente para la informaci'n de auditorBaema, la documentaci'n de la biblioteca SAP, la documentaci'n para laa de negocio de la guBa de implementaci'n, y enlaces a algunos /ebcciones como httpR66ser%ice#sap#com#a esta documentaci'n ser> ayudar al auditor a entender el SAPema y ayudar al auditor con la recopilaci'n de datos para fines de auditorBa#ditor)a del Sistema de Auditor)a de <mpresas contraciones A S se puede di%idir en dos categorBas principalesR auditorBa del sistema y

presa de auditorBa# *a auditorBa de negocios incluye contabilidad, clientes, pro%eedores,

%os y auditorBas fiscales# *os datos pueden descargarse con fines de auditorBa#detalles acerca de las auditorBas de negocios se encuentra en curso de formaci'n AC;&A2? #

aR AC; es un curso globalV /&A2? es un taller ofrecidoAmOrica del &orte#ura '/( Auditor)a de <mpresasesta clase %amos a trabajar s'lo con la parte de auditorBa del sistema de la AuditorBaormaci'n del sistema# *a auditorBa del sistema se di%ide en tres >reas principalesRema general, los usuarios y las autorizaciones, dep'sito y tablas#





ura '4( Principales componentes de Auditor)a del Sistemao largo de este curso %amos a utilizar cada >rea de auditorBa para demostrar el usoSistema de nformaci'n de AuditorBa#

ura '5( Detalles de los Componentes del Sistema de Auditor)aistema de auditorBa abarca una amplia gama de tareas# ncluye comNnrmes de seguridad, (ue se utilizan para %erificar los aspectos de las tareas de administraci'n del sistemastema operati%o, par>metros de instancia, destinos 9=C, y asB sucesi%amenteQ# *obiOn incluye tareas de sistema realizados por muchos usuarios comoR ni%el decesamiento, impresi'n y gesti'n de solicitud de cambio#os usuarios y las autorizaciones de auditorBa ofrece %arias maneras para asegurar (ue los usuariosestionan correctamente y para asegurar las autorizaciones de un usuario correctamenteejar las tareas diarias, el usuario debe realizar# 0n esta secci'n se incluyeistema de informaci'n para la presentaci'n de informes sobre usuarios y autorizaciones, la funci'nntenimiento y comNn informes utilizados para %erificar (ue los usuarios tienen (ueeder#033 S/* /, Todos los derechos reser1ados



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950epositorio 6 mesas de auditorBa se utiliza para descubrir (uiOn tiene acceso directo a las tablasa producci'n y el grado de acceso# $ambiOn proporciona informaci'n sobreegistro de la tabla, especBficamente relacionados con los datos financieros confidenciales# 0n esta secci'n

mbiOn proporciona informaci'n sobre documentos de modificaci'n y su uso en el SAPema#les proporcionados por SAP para AISel pasado, el Sistema de nformaci'n de AuditorBa e)istBa en una sola transacci'ngo, S0C9# Sin embargo, el Sistema de nformaci'n de AuditorBa se distribuye actualmenteuna serie de roles# *as funciones se asignan a los auditores, los roles de conceder laitor el acceso a las >reas re(ueridas para la auditorBa#

ura '?( +a historia del desarrollo de AISa facilitar el trabajo con el Sistema de nformaci'n de AuditorBa, el auditor necesita4 de usuario en el sistema SAP# 0ste registro maestro de usuario re(uiere una amplia gama

as autorizaciones de %isualizaci'n y debe ser clasificado como un informati%osuario profesional limitada#aR nformati%o usuario profesional o limitada indica elerido datos de licencia para el 4 de usuario de auditorBa#a serie de funciones indi%iduales est>n definidos para el Sistema de nformaci'n de AuditorBa#as funciones indi%iduales se di%iden en dos gruposR





ciones de menN ^ SAP AU4 $59Qes de autorizaci'n ^ SAP CA AU4 $59QaR SAP recomienda copiar los roles pre%istos para el

ditorBa del Sistema de nformaci'n para crear los roles especBficos del cliente paraauditores#funciones de menN tienen s'lo los elementos de menN, (ue no contiene ninguna autorizaci'n#funciones de autorizaci'n s'lo tienen autorizaci'n, no tienen menN

Bculos en la lista#unos estudiantes pueden estar familiarizados con las funciones de menN y funciones de autorizaci'n,s no# uchas empresas utilizan esta estrategia en otras >reas#

or ejemplo, algunas empresas utilizan las funciones de menN y funciones de autorizaci'n enar de utilizar las funciones deri%adas#Q%entaja de las funciones de menN es no abrumar al auditor con lanN completo SAP# Si el auditor tiene la funci'n de menN para el >rea sonitorBa, podrBa hacer su tarea menos abrumadora y m>s f>cil para ellosa na%egar#ura '@( Men contra Roles de autori2ación 'istema de nformaci'n de AuditorBa proporciona tres funciones de menN de sistemaitoresR uno para las auditorBas de sistemas generales, una para usuarios y autorizacionesitorBas, y otro para dep'sito y las auditorBas de las mesas#033 S/* /, Todos los derechos reser1ados



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950ura '3( Men contra Roles de autori2ación *y una demostraci'n de estas funciones al final de esta secci'n, perode (ue desee %er en cada papel en P=C" transacci'n mientras se discute elel#apel principal de autorizaci'n para (ue el auditor del sistema esP CA AU4 $59 SFS$0 4 SP*AF# 0sto le da a la pantalla auditor eder a casi todas las funciones del sistema# Sin embargo, no da acceso a losas las funciones de administraci'n del sistema# *a mayorBa de las compaDBas tienen una polBticaringir el acceso a las tareas de administraci'n del sistema, normalmente esta polBticacitar a los auditores#ditores de sistemas deben comenzar con el papel SAP CA AU4 $59 SFS-

4 SP*AF# Si este papel no es suficiente, el auditor debe trabajar condministrador del sistema# Si su compaDBa prefiere dar el auditor m>seder, SAP proporciona la funci'n SAP CA AU4 $59 SFS$0 , (ue ofreceporciona un acceso m>s amplio de SAP CA AU4 $59 SFS$0 4 SP*AF#





ura '9( Men contra Roles de autori2ación /da uno de los componentes del sistema de auditorBa tiene un papel diferente del menN# *ael de menN le da acceso a las transacciones y los informes (ue necesita para unaa en particular# *as funciones A S utilizadas para las auditorBas del sistema son los siguientesR

ema de AuditorBaR SAP AU4 $59 SA 3Cuarios y AutorizacionesR AuditorBa SAP AU4 $59 SA 3C CC US9 'sito 6 esas de AuditorBaR SAP AU4 $59 SA 3C CUS $5*eparaci'n de menN de funciones de autorizaci'n de los auditores simplifica el

uiere la instalaci'n de un auditor# Al tener funciones separadas del menN, el auditor denN se di%ide en las tareas e)actas (ue deban lle%arse a caboa esta >rea componente de auditorBa# Por ejemplo, si alguien es el sistema de auditorBa%icios en la producci'n, la funci'n de menN SAP AU4 $59 SA 3C tendr>s de las transacciones e informes satisfactorios (ue se pueden ejecutar aizar una auditorBa e)itosa de los ser%icios del sistema en producci'n#ay un cambio de autorizaci'n (ue afecta a todas las funciones de menN tres, la

mbio de autorizaci'n se puede hacer en una Nnica funci'n# $ener menN de treseles hace (ue sea m>s f>cil de personalizar un menN de usuario especBficamente para las tareas de lositor necesita realizar#em>s de las funciones (ue hemos mencionado para auditores de sistemas, haybiOn funciones para las auditorBas de negocios# *as funciones de auditorBa de negocios tambiOn se di%idene las funciones de menN y funciones de autorizaci'n# *os siguientes son ejemplos

as funciones de menN para las auditorBas de negocioR033 S/* /, Todos los derechos reser1ados



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950

P AU4 $59 3A = "* - ClausuraP AU4 $59 3A = AA - Acti%os tangiblesP AU4 $59 3A - "esti'n de aterialesiguiente es un ejemplo de un rol de autorizaci'n para las auditorBas de negocioR

P CA AU4 $59 APP* - Para aplicaciones e)cepto mySAP @9Qem>s de las funciones de negocio, SAP proporciona un papel compuesto, el cualtiene todos los papeles en el Sistema de nformaci'n de AuditorBa# 0se papel compuestoAP AU4 $59#comendaciones de instalación para AISde una perspecti%a de auditorBa del sistema, la configuraci'n de la informaci'n de auditorBaema es bastante simple# @ay s'lo unos pocos pasos usted como auditor del sistemae (ue seguirR

pie los roles de SAP para su con%enci'n de nombres propiosualizaci'n de las funciones segNn sea necesarioQe un usuario para (ue el auditor gnar los roles (ue ha creado para el usuario auditorBal Sistema de nformaci'n de AuditorBa se %a a configurar tanto para el sistemas auditorBas de empresas, algunas medidas adicionales (ue tenga (ue hacer# Unoas funciones de SAP contiene todo lo (ue se re(uiere para establecer A S# 0stael, SAP AU4 $59 A4 &, incluye cuatro tareas principales (ue deben ser

mpletadoR

pie los papeles y crear los usuarios (ue utilizan su propio con%enio de denominaci'n#nfigure la ayuda en lBnea con un enlace al ser%idor de documentaci'n#tener las %ariables de selecci'n de informes comerciales#i%ar una salida de usuario para la descarga de datos de mySAP =inancials#





ura *0( :ra$a6o Preparatorioistema de nformaci'n de AuditorBa incluye ayuda en lBnea para cada rol# uchos

ces en el papel (ue se %incular> a la ayuda en lBnea (ue e)plica SAPciones# Para (ue funcione correctamente, el Sistema de nformaci'n de AuditorBa ayudar e estar %inculada a su ser%idor de documentaci'n#%ariables de selecci'n se utilizan para proporcionar insumos para el negocio de SAP yrmes financieros# 0jemplos de configuraci'n de datos de las %ariables de selecci'n incluyen

o calendario, plan de cuentas, el idioma, perBodo de desplazamiento, y el aDo fiscal#acti%aci'n de la salida de usuario se refiere a los datos descargados de consulta = # *acarga de datos de la consulta es una subfunci'n del Sistema de nformaci'n de AuditorBa#formato de archi%o especial, (ue se define en un include para la salida de usuario

U0 ?, se utiliza#cio de las consultas como de costumbre para pe(ueDos conjuntos de datos en lBnea, para conjuntos de datos grandesondoQ y acti%ar la opci'n Archi%o pri%ado# 0l programa de consultaribe los datos de resultado a la base de datos con el 4 de $emse (ue se deri%aartir de su identificaci'n de usuario user o usuario de di>logo de fondoQ# Por lo tanto, s'lo se puedeeder a estos datos# nicio del informe 9S1U0U ? a ejecutar la descarga de laultados almacenados en la base de datos $emse#aR Para obtener m>s informaci'n sobre la salida de usuario, %Oase la nota SAP ?2;?Z #033 S/* /, Todos los derechos reser1ados



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950mostración( Con!iguración de unciones para la auditor)a del sistemapósitorop'sito de esta demostraci'n es mirar a las funciones (ue se proporcionana los auditores y establecer las funciones de un auditor del sistema# *os roles creadosB se utilizan para la duraci'n del curso#os del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioR1ue %a a utilizar el usuario genOrico =59 AC H& o; -T TQ para hacer la demostraci'n, una %ez (ue la demostraci'n est> terminada, se iniciar> la sesi'n con

suario (ue ha creado en la demo "9P T T-AU4 $Q#ntraseDaRmismo como claseablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para estanifestaci'n#

r a P=C" y mirar los papeles pre%istos para los auditores# @az una bNs(ueda^ AU4 $ para ^V esto deberBa traer todos los papeles#

Dale (ue los roles de autorizaci'n comenzar con ^ SAP CAa una de las funciones de menN y el rol de autorizaci'nP CA AU4 $59 SFS0 4 SP*AF# &ote como la autorizaci'nel no tiene menN#li(ue (ue %a a establecer el papel de un auditor (ue (uiere %er s usuarios y autorizaciones se har> una demostraci'n de una parte dejercicioQ#

pia SAP CA AU4 $59 SFS$0 4 SP*AF papel (ueT T SFS$0 AU4 $59#a a su nue%o papel y cambiar algunas de las autorizaciones#re la autorizaci'n de S 9=C amarillo y eliminar la

SP5 PA"0 autorizaci'n#aR Si los estudiantes hacen preguntas acerca de estos objetos particulares,s (ue muchos de estos objetos especBficos se discutir>uturas lecciones# Ahora estamos haciendo la instalaci'n (ue debe ser ho ante un auditor comienza a trabajar#

ere su nue%o papel#%er al menN e introduzca el menN de papelP AU4 $59 SA 3C CC US9#





%ez cambiar el nombre de una de las carpetas ya (ue los estudiantes lo har>n enjercicio#8ol%er a las autorizaciones, pero asegNrese para seleccionar 545 0:P09$5

A9A *A "0&09AC H& 40 P09= *, a continuaci'n, elija 0ditar datos antiguos#Crear un usuario de auditorBa, "9P T T-AU4 $, y asignar la funci'n (ue ha creado#nicie sesi'n como este usuario y cuenta de su papel de menN#n AIS desde una perspectiva de auditor)a del sistemapuOs los papeles se estableci', a continuaci'n, puede empezar a utilizar la informaci'n de auditorBaema# 4espuOs de iniciar sesi'n con el 4 de usuario auditor, recibir> un usuario

nN para todas las funciones A S otorgados en su papel#ura *'( &so de AISpuOs de (ue el menN de usuario se ha configurado, puede acceder a todo lo necesario para auditar %icios del sistema, los usuarios, y el repositorio 6 tablas# A lo largo del resto de estasupuesto, %amos a utilizar este menN de usuario para poder acceder a todas las funciones de auditorBanecesitamos#M950 lección , las !unciones de auditor)a usadosci'n en A4 ;nfiguraci'n y Uso de la seguridadrramientas de auditorBantrol de acceso a transaccionesigos, tablas y ProgramasditorBa componente enuema de AuditorBausuarios y las autorizacionesV'sito 6 esas de AuditorBa033 S/* /, Todos los derechos reser1ados



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950 de los registros de Seguimiento de laicaci'n'sito 6 esas de AuditorBasonalizaci'n de los Usuarios de antenimiento de roles y autorizacionesVidades en mySAP9epository 6 $ablasgurar usuario y de grupo

ministraci'ni'n del Cambio y Seguridadema de Administraci'n de Seguridad de%icios en Sistemas de Producci'nuarios y AutorizacionesditorBa del sistema, los usuarios yautorizacionesusuarios y las autorizacionesV sistema

ditorBaa utilizar el Sistema de nformaci'n de AuditorBa, s'lo tiene (ue iniciar sesi'n como un usuario (uee funciones de auditorBa asignadas# Usted puede trabajar a tra%Os de cada secci'n del menN,izando la documentaci'n de ayuda con su tarea# A menudo, los informes yaen %ariantes preparadas (ue le ayudar>n en su in%estigaci'n# $ambiOn senta de (ue muchos elementos de menN en el Sistema de nformaci'n de AuditorBa lle%ar> agos tradicionales de transacci'n en SAP#a %ez (ue haya completado el ejercicio de esta lecci'n, usted tendr> unaitorBa de configuraci'n del usuario con las funciones necesarias para realizar un sistema completoitorBa# Al iniciar sesi'n como usuario auditorBa, podr>s %er los caminos del menNporcionado#n!iguración para el resto del ADM950a el resto de este curso, usted tendr> un 4 de usuario (ue es un auditor,n 4 de usuario (ue es un super usuario# Adem>s tendr>s los 4 de usuario paraitorBa# Para la mayor parte del curso, se inicia la sesi'n como la auditorBaario# A continuaci'n se detallan los identificadores de usuario para este cursoRID de usuario para ADM950 Curso

de usuario; -T T

mo utilizar erusuario# 0ste usuario s'lo debe utilizarse para construir uditorBa usuario# 0ste usuario tiene un acceso amplio y es

ado por el entrenador antes de la clase#

auditorBa usuario# Crear> este 4 de usuario# 4espuOs 4 de usuario se crea, (ue debe ser usado para todos%os ejercicios y acti%idades en el curso#anzas administrador# 0ste usuario imita a su finusuario y el 4 de usuario se proporciona# Se lle%ar> a caboitorBas de este usuario#T T-AU4 $

A4 "9P-T T




M950ión( Con!igurar , utili2ar el Sistema de In!ormación de Auditor)aA4 "9P-T Tursos humanos administrador# 0ste usuario imitausuario final y el 4 de usuario se proporciona# *o har>sizar auditorBas de este usuario#ema administrador# 0ste usuario imita un sistema de

ministrador y el 4 de usuario se proporciona# *o har>sizar auditorBas de este usuario#

SA4 "9P-T T033 S/* /, Todos los derechos reser1ados




6ercicio '( Con!iguración de un Sistema AISuditorcicio 4uraci'nR < minutos

6etivos del e6erciciopuOs de completar este ejercicio, usted ser> capaz deRemostrar c'mo configurar el Sistema de nformaci'n de AuditorBa por unistema auditor emplo de <mpresased debe proporcionar un auditor del sistema con la capacidad de realizar funciones de auditorBa#a ello, tiene (ue configurar el Sistema de nformaci'n de AuditorBa deema auditor#cauci'nR *os re(uisitos pre%ios para este curso asumir al menos unaoducci'n a la creaci'n de usuarios y roles# Si usted no ha tenidoeriencia pre%ia en la creaci'n de usuarios y la actualizaci'n de las funciones,ible (ue desee utilizar las soluciones para este ejercicio# *as soluciones se

minar a tra%Os de cada paso para crear el rol y la actualizaci'napel#os del sistemaemaR

enteRde usuarioR

ntraseDaRablecer instruccionesR

ma (ue la clasema (ue la clasema (ue la clasemo como clasehay ninguna configuraci'n especBfica necesaria para este ejercicio#ea 'e un 4 de usuario (ue %a a ser un auditor#

e un 4 de usuario con nombreGRP # #-AUDIT. Pon este usuario en el usuariopoHuésped; dar a este usuario sin roles o perfiles en este momento# 0n la

os de inicio de sesi'n pestaDa, introduzcaGRP # #-AUDIT como la Alias#ea *ar una funci'n para un auditor del sistema#

ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados




ar una funci'n, "9P T T SFS$0 AU4 $59, copiando el papel SAPP CA AU4 $59 SFS$0 4 SP*AF#ea /mbie su nue%o papel, "9P T T SFS$0 AU4 $59, la actualizaci'n de laorizaciones, el menN, y la generaci'n de la funci'n#

a a su nue%o papel en el modo de cambio, entra en el Autorizaciones, %ueltare nombres tOcnicos Utilidades→ &ombres tOcnicos 3ajoQ, y actualizar laorizaciones en su nue%o papel con la siguiente tablaR

se de objetoss-caci'norizaci'netoseRministraci'neRministraci'neRministraci'neRministraci'nmanoursosorizaci'neto9=CO hacer forar en el objetoacti%ar la primeraorizaci'n (ue es de color amarillo#forar en el objeto yutorizaci'n y entrar DMcomo un %alor#ene el amarillo por lo (ue el

orizaci'n a su %ez,rde#acti%ar esta autorizaci'n#forar en el objetoacti%ar la primeraorizaci'n (ue es de color amarillo#cer (ue el Plan de 8ersi'n campo

A4 =C4*5" C5SP5 PA"0$A3U 4 S"erenciaR Si est> utilizando las soluciones, es posible (ue necesite

elta a la p>gina para encontrar los pasos e)actos necesarios para actualizar eletos de autorizaci'n (ue figuran en la tabla anterior#ntinNa en la p>gina siguiente





olución '( Con!igurar un Sistema AIS parauditorea 'e un 4 de usuario (ue %a a ser un auditor#

e un 4 de usuario con nombreGRP # #-AUDIT. Pon este usuario en el usuariopoHuésped; dar a este usuario sin roles o perfiles en este momento# 0n laos de inicio de sesi'n pestaDa, introduzcaGRP # #-AUDIT como la Alias#

gir nstrumentos→ Administraci'n→ antenimiento por el usuario→ Usuarios#rar GRP # #-AUDIT en la Usuario de campo y haga clic en el Crear iconoroduzca un nombre y apellido primero de su elecci'n#ga clic en el 4atos de inicio de sesi'n tab#a Alias campo, introduzcaGRP # #-AUDIT.os campos de la contraseDa, introduzca una contraseDa tan sencillo

moINIT.a "rupo de usuarios para comprobar la autorizaci'n campo, introduzcaGUE"T.rde el usuario hace clic en el Ahorrar icono

ea *ar una funci'n para un auditor del sistema#

ar una funci'n, "9P T T SFS$0 AU4 $59, copiando el papel SAPP CA AU4 $59 SFS$0 4 SP*AF#

gir nstrumentos→ Administraci'n→ antenimiento por el usuario→ Papelministraci'n→ 9oles#rar "AP $A AUDIT%R "&"TEM DI"P'A& en la Papel campoegir Papel→ Copiar#rar GRP # # "&"TEM AUDIT%R en la al papel campo y elijapiar todo#ea /mbie su nue%o papel, "9P T T SFS$0 AU4 $59, la actualizaci'n de laorizaciones, el menN, y la generaci'n de la funci'n#

a a su nue%o papel en el modo de cambio, entra en el Autorizaciones, %ueltare nombres tOcnicos Utilidades→ &ombres tOcnicos 3ajoQ, y actualizar la

orizaciones en su nue%o papel con la siguiente tablaRntinNa en la p>gina siguiente




M950ión( Con!igurar , utili2ar el Sistema de In!ormación de Auditor)ase de objetoss-caci'norizaci'netoseRministraci'neRministraci'neRministraci'norizaci'neto9=CO hacer forar en el objetoacti%ar la primeraorizaci'n (ue es de color amarillo#forar en el objeto yutorizaci'n y entrar DMcomo un %alor#ene el amarillo por lo (ue el

orizaci'n a su %ez,rde#acti%ar esta autorizaci'n#A4 =C4*5" C5SP5 PA"0ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950eRministraci'nmanoursos$A3U 4 Sforar en el objetoacti%ar la primeraorizaci'n (ue es de color amarillo#cer (ue el Plan de 8ersi'n campo

"erenciaR Si est> utilizando las soluciones, es posible (ue necesiteelta a la p>gina para encontrar los pasos e)actos necesarios para actualizar eletos de autorizaci'n (ue figuran en la tabla anterior#

n debe estar en =unci'n de mantenimiento P=C" el c'digo de transacci'nQ#gNrese de (ue el papelGRP # # "&"TEM AUDIT%R est> en la Papel

mpo y elija Papel→ Cambiar 5 haga clic en el Cambiar icono

orSelect la *as autorizaciones ficha y haga clic en el Cambiar iconogir Cambiar los datos de autorizaci'n#ienda nombres tOcnicos eligiendo Utilidades→ &ombres tOcnicos

a la clase objeto de autorizaci'n Cross-Applicationetos de autorizaci'n haciendo clic en el signo m>s a la signne)teto de clase#ga en cuenta el objeto de autorizaci'n Autorizaci'n de %erificaci'n de acceso 9=C9=C es de color amarillo# Abrir objeto de autorizaci'n haciendo clic en el

al lado del signo object#plus autorizaci'nora %er> dos autorizacionesR una es amarilla y la otrae color %erde# 0liminar la autorizaci'n (ue es de color amarillo haciendo clic en elrar icono

ntinNa en la p>gina siguiente




dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950cono del objeto de autorizaci'n debe cambiar a nacti%o#

ca la clase de objeto de autorizaci'n 9ecursos @umanosV lorobablemente rojo# Abra la clase objeto de autorizaci'n @umano

junto a la clase de objeto#9ecursos haciendo clic en el signo m>sa el objeto de autorizaci'n Personal de Planificaci'n - P*5" por

junto a la autorizaci'n object#clic ing el signo m>sed debe notar roja al lado de la Plan de 8ersi'n campo# *o har>s

mbiOn noto (ue no hay %alor asignado a ese campo# @aga clic en elmbiar icononsferir icono

troduzca ! como la Plan de %ersi'n# @aga clic en el

o lo (ue ahora debe ser el color %erde# "enerar el papel y laombre del perfilGRP # # AUDIT.

gir *as autorizaciones→ "enerar o haga clic en el "enerar icono#ed recibir> un cuadro de di>logo, Puede cambiar el perfil predeterminado

mbrar a(uB# 0ntrarGRP # # AUDIT%R(A en la Perfil de campo y haga clic en elca de %erificaci'n %erde#

ualizar el menN de su nue%o papel insertando tres rolesRP AU4 $59 SA 3C, SAP AU4 $59 SA 3C CC US9, yP AU4 $59 SA 3C CUS $5*#

sted toda%Ba est> en la Cambiar funci'nR Autorizaciones pantalla, utilice laha %erde de nue%o para salir y seleccionar el enN tab#a enNs de Copia parte de la pantalla, seleccione 4e otro papel#eccionar SAP AU4 $59 SA 3C# Usted tendr> (ue desplazarse hacia abajo paraontrar este papel# Una %ez (ue encuentre el papel, haga doble clic en Ol#a %entana llamada Selecci'n de las transacciones en el menN aparece#

a seleccionar todo en el menN, haga clic en la casilla situada junto a la funci'n# @aga clic en la marca de %erificaci'n %erde para Agregar#nombre

rde su papel haciendo clic en el Ahorrar icono#etir los pasos bQ a eQ, la inserci'n de los papeles"AP AUDI-R "A )$ $$M U"R y "AP AUDIT%R "A )$ $U" T%'.

mbiar el nombre de los elementos del menN de funciones para facilitar la legibilidad# Utilice el siguientea para los cambios de nombreR

mbre en el menN de papelS - AuditorBa del Sistema de SAP AU4 -

SA 3Cmbie a este nue%o nombreema de AuditorBa





M950ión( Con!igurar , utili2ar el Sistema de In!ormación de Auditor)aS - AuditorBa del sistema - Usuarios yautorizaciones SAP AU4 -

SA 3C CC US9 S - AuditorBa del sistema - 9epos-y 6 $ablas SAP AU4 -

SA 3C CUS $5*

uarios y AutorizacionesditorBa'sito 6 esas de AuditorBaga clic en la carpeta A S - SAP AU4 $59 SA 3C Sistema de AuditorBa#ga clic en el Cambiar icono#rar "*stem+ de Aud*to, + en la $e)to campo#etir los pasos aQ a cQ usando los datos en la tabla anterior#rde el papel#a carpeta *os ? informes de seguridad bajo Sistema de AuditorBa, insertar sacci'n S 2 & c'digo# 1ue sea el primer informe bajo Sistema

ditorBa→ *os ? informes de seguridad#

a la carpeta Sistema de AuditorBa#ga clic en la carpeta *os ? informes de seguridad#

# @aga clic en el ADadir $ransaction iconorar "M N y haga clic en la marca de %erificaci'n de color %erde, Asignar las transacciones#ionalmente, para %er los nombres de c'digo de transacci'n en el menN, haga clic enienda nombres tOcnicos

de la 4escripci'n ficha, actualizar la documentaci'n para el papel# ADadir ocumentaci'n de los tres papeles (ue ha insertado en la enN#

ga clic en el 4escripci'n tab# *ea la documentaci'n y aDadir algunoses (ue describen c'mo se ha actualizado este papel hasta el finala documentaci'n#rde el papel#

ere su nue%o papel# 4espuOs de seleccionar el *as autorizaciones , seleccionedo 0)perto para la "eneraci'n de perfil a continuaci'n, elija 0ditar datos antiguos#

aga clic en el *as autorizaciones tab#c odo 0)perto para la generaci'n de perfiles#eccionar 0ditar estado de edad#gir *as autorizaciones→ "enerar#ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950ea 4gne este rol para el usuario (ue ha creado e inicie sesi'n como ese usuario#aR 4espuOs de este ejercicio se ha completado, usted debe estar registrado en

P s'lo como "9P T T-AU4 $#

de la Usuario ficha en su papel, asigne este rol para el usuarioP # #-AUDIT.

ga clic en el Usuario tab#rar GRP # #-AUDIT en la 4 de usuario campo#c Comparar usuario a continuaci'n, elija Comparaci'n completa#rre la sesi'n en su 4 de usuario actual#cie sesi'n como "9P T T-AU4 $#




M950ión( Con!igurar , utili2ar el Sistema de In!ormación de Auditor)asumen de la lecciónora deberBa ser capaz deRescribir el prop'sito del Sistema de nformaci'n de AuditorBa A SQonfigurar y asignar funciones A S y autorizacionesemostrar la capacidad de na%egar y usar las funciones A Sormación relacionada

P &ote < ?;7 - Concepto A S Papel 6 nstalaci'n 9ecomendacionesP &ote ? 7 ; - A S de instalaci'n para =P &ote ?2;?Z - A S de descarga de datos de consultaR66ser%ice#sap#com6ais; - AuditorBa de taller desde una perspecti%a empresarial /&A2? sid se encuentra en AmOrica del &orteQ





cción( Con!iguración , &so de las herramientas de auditor)a de seguridadaci'n de la claseR 7 minutoss;ue6o de la lecciónesta lecci'n se describe la configuraci'n y el uso del registro de auditorBa de seguridad#porciona ejemplos de c'mo utilizar el registro, y lo (ue debe buscar cuandoel registro#

em>s, esta lecci'n presenta las opciones para el control de la seguridadtas disponibles con el sistema inform>tico de gesti'n del centro# *o har>sender a utilizar transacci'n 9I2 para monitorear relacionados con la seguridad en las alertaso m>s sistemas de SAP#6etivos de la lección

puOs de finalizar esta lecci'n, el alumno ser> capaz deR

ntificar los re(uisitos para la configuraci'n del registro de auditorBa de seguridadmostrar c'mo leer el registro de auditorBa de seguridadmuestre el uso del monitor de alerta de seguridad en CC Srramientas de auditorBa de seguridad de registro de recopilar informaci'n sobre los e%entos relacionados con la seguridadoporcionar esa informaci'n a los auditores en los informes de auditorBa de seguridad y

a%Os de las alertas de seguridad CC S onitor# Use demostraciones en %i%o para ilustrar so de S ?; filtros din>micos#

cauci'nR 0n el momento de escribir este curso, he tenido problemas con lastro de auditorBa est> llenando# Una %ez (ue el registro se llena, no hay m>s informaci'nrabar>n# Antes de la clase se inicia, %aya a la S ?;, haga clic en 4in>mica

nfiguraci'n y comparar la $amaDo de archi%o actual al >)imoaDo de archi%o# Si el registro est> lleno, entonces usted tendr> (ue mirar a la actualadas y no hacer acciones (ue se sumar>n en el registro#gNrese de acti%ar el cierre de sesi'n hasta (ue necesite el registro de la

nifestaci'n#es de la clase asegurar el registro de auditorBa no est> acti%o, gire el registro de auditorBa en cuandoemostraci'n se lo indi(ue# Ap>guela despuOs de su demostraci'n, %uel%a a encenderlo antes deejercicios#y un ejercicio donde los estudiantes iniciar sesi'n como su @9A4 "9P-T Tario y ejecutar un informe# 0ste paso es muy importante# >s adelante en la clasese encargar> de auditar las solicitudes de carrete y utilizar esto como un ejemplo# Por fa%or, asegNreses estudiantes a hacer los ejercicios de esta unidad#




M950ión( Con!iguración , &so de las herramientas de auditor)a de seguridademplo de <mpresasntras (ue la auditorBa de su sistema, usted (uiere empezar por descubrir (uO tiposiones de est>n sucediendo en su sistema# Usted est> interesado en los inicios de sesi'n por usuarios, los inicios de sesi'n de los usuarios remotos, y se inicia la transacci'n especBficos#eguridad del registro de auditorBa le puede ayudar a descubrir (uO acti%idades sonocurre en el sistema SAP#

em>s, puede personalizar los filtros (ue %elan por dicha acti%idad anitorear clientes especBficos, incluso indi%iduos especBficos# Usted puede decidir utilizar s herramientas en su organizaci'n para in%estigar problemas especBficos de seguridad o

entos#

ed (uiere (ue el registro de auditorBa de seguridad a ser monitoreados en el conte)to de suaje# Si hay problemas, (ue desea ser alertado acerca de ellos#Centro Computer System anagement proporciona monitores (ue, cuandofigurado, generar alertas cuando se producen determinados e%entos, los e%entos (ue indicanuridad y minNsculas acti%idad o incluso %iolaciones de seguridad# Custom seguridadnitores se pueden %er por esta acti%idad a tra%Os de los lBmites del sistema y en todopaisaje soluci'n completa#primera secci'n muestra las rutas de menN (ue se utilizar>n en A S# 0s crBticoso de rutas A S de menN para na%egar# Cuentas est>n a(uB para aprender A S, no s'loos los c'digos de transacci'n tras ella# 8a a tener la tentaci'n de utilizar s'lo elgos de transacci'n# 9ecuerde, esta clase es desde la perspecti%a de la auditorBa, node la perspecti%a de base#Plan de tra$a6o para esta lección

esta lecci'n se describen las herramientas de SAP pre%O la realizaci'n de una auditorBa del sistemaR

istro de auditorBaS monitoreo

minos de men en el Sistema de In!ormación de Auditor)aas las sendas de menN utilizados en el Sistema de nformaci'n de AuditorBa A SQ se enumerannal de esta lecci'n# 8amos a utilizar las rutas de los menNs siguientes en A S paralecci'nR

ema de AuditorBa→ *os ? informes de seguridad→ Seguridad del registro de auditorBa de 0%aluaci'nema de AuditorBa→ Configuraci'n del sistema→ Par>metros→ Sistema

par>metros con documentaci'n033 S/* /, Todos los derechos reser1ados




ema de AuditorBa→ Configuraci'n del sistema→ Sistema 5perati%o _ PantallaP 4irectoriosema de AuditorBa→ Configuraci'n del sistema→ Sistema _ onitoreo CC Spresentar el registro de auditor)a de seguridadeguridad del registro de auditorBa est> diseDado para los auditores (ue necesitan tomar una detalladaa lo (ue ocurre en el sistema SAP# Al acti%ar el registro de auditorBa,

%ar un registro de las acti%idades (ue considere pertinentes para la auditorBa# Ustedontinuaci'n, puede acceder a esta informaci'n para la e%aluaci'n en un informe de an>lisis de auditorBa#rincipal objeti%o del registro de auditorBa es la de grabarR

acionadas con la seguridad cambios en el entorno del sistema SAP por mplo, los cambios en los registros maestros de usuarioQnformaci'n (ue proporciona un mayor ni%el de transparencia por ejemplo,osos y fracasados intentos de inicio de sesi'nQormaci'n (ue permite la reconstrucci'n de una serie de e%entos para

mplo, transacci'n e)itosa o no se iniciaQconcreto, puede registrar la siguiente informaci'n en la auditorBa de seguridadR

osos y fallidos intentos de di>logo de inicio de sesi'nO)ito y sin O)ito los intentos de inicio de sesi'n 9=Cmadas remotas de funci'n 9=CQ a los m'dulos de funci'nnsacci'n con O)ito y sin O)ito comienzaorme e)itosos y no e)itosos se iniciacambios en los registros maestros de usuarioscambios en la configuraci'n de auditorBa

guridad del registro de auditor)a Ar;uitecturaegistro de auditorBa de seguridad mantiene un registro de las acti%idades relacionadas con la seguridad enP sistemas# 0sta informaci'n es registrada en un fichero de diario de auditorBa de cadacaci'n de ser%idor# Para determinar (uO tipo de informaci'n se debe escribir aarchi%o, el registro de auditorBa utiliza filtros, (ue se almacenan en la memoria en un control

(uear# Cuando ocurre un e%ento (ue coincide con un filtro acti%o por ejemplo, unaio de la transacci'nQ, el registro de auditorBa genera un mensaje de auditorBa correspondienteescribe en el archi%o de auditorBa# Una descripci'n correspondiente, se en%Ba tambiOn a laS alerta monitor# *os detalles de los e%entos se proporcionan en la seguridad

stro de auditorBa nforme de auditorBa an>lisis, como se muestra en la figuraR




M950ión( Con!iguración , &so de las herramientas de auditor)a de seguridad

ura **( Registro de auditor)a de seguridadcauci'nR Sistemas SAP mantener sus registros de auditorBa sobre una base diaria#istema no elimina o sobrescribe los archi%os de auditorBa de anterioresa, sino (ue los mantiene hasta (ue los elimine manualmente# 4ebido a latidad de informaci'n (ue puede acumular, le sugerimos (ue guardes archi%os en un horario regular y eliminar los originales delcaci'n de ser%idor# Utilice la transacci'n S ?\ para archi%ar o borrar %iejo

hi%os de registro de auditorBaarchivo de auditor)a , el registro de auditor)aarchi%os de auditorBa se encuentran en los ser%idores de aplicaciones indi%iduales#

define el nombre y la ubicaci'n de los archi%os en un par>metro de perfil,/ local / archivo .. Cuando ocurre un e%ento (ue se %a a auditar, elema genera un correspondiente registro de auditorBa o auditorBa de mensajes yscribe en el archi%o# 0l registro de auditorBa contiene la siguiente informaci'nse conoceQR

ntificador del suceso un c'digo de tres caracteresQP 4 de usuario y el clienteminal nombreigo de transacci'nmbre del informera y fecha en (ue se produjo el e%entoceso de dentificaci'n033 S/* /, Todos los derechos reser1ados




i'n nNmeroormaciones di%ersasdefine el tamaDo m>)imo del archi%o de auditorBa en el par>metro de perfilu 6 ma) dis space 6 local# 0l %alor predeterminado es ? megabyte 3Q o ?es# Si el tamaDo m>)imo es alcanzado, se detiene el proceso de auditorBa#par>metros de instancia siguientes est>n relacionados con el archi%o de registro de auditorBaR

u 6 local 6 archi%o - nombre del registro de auditorBa de seguridadu 6 ma) dis space 6 local - tamaDo m>)imo del archi%o demostración( #ea los par metros de e6emplarpósitoice 9I?? para in%estigar los par>metros de instancia para el registro de auditorBa#os del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioR"9P T T-AU4 $ntraseDaRmismo como claseablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para estanifestaci'n#Como "9P T T-AU4 $, elija Sistema de AuditorBa→ Configuraci'n del sistema→

Par>metros→ Par>metros del sistema con la documentaci'n#

e la documentaci'n para rsau 6 local 6 archi%o yu 6 ma) dis space 6 local#

A*?? Sistema AuditorBa→ Configuraci'n del sistema→ Sistema operati%o _trar 4irectorios SAP# 3us(ue en la `instancia 6 log# UstederBa %er los archi%os (ue terminan en AU4# 0stos son los archi%os de registro de auditorBa#o del registro de auditor)a !rente a Con!iguración del registro de auditor)administrador del sistema o el administrador de seguridad ser> la persona

ponsable de la configuraci'n del registro de auditorBa# Si bien el auditor puede usar elntifBcate para in%estigar los intentos de inicio de sesi'n, se inicia la transacci'n, y otras acti%idades, laitor normalmente no se puede configurar el registro de auditorBa de seguridad#




M950ión( Con!iguración , &so de las herramientas de auditor)a de seguridadigura muestra la pantalla (ue se utiliza para configurar los filtros de seguridad de auditorBa#

ura */( Con!iguración de los !iltros de auditor)a de seguridad033 S/* /, Todos los derechos reser1ados




mantenimiento de !iltros est ticosuisitos previoscedimiento

a acceder a la AuditorBa de seguridad del registro de configuraci'n pantalla de la SAPnN est>ndar, seleccione nstrumentos→ Administraci'n→ Controlar→ Seguridadistro de auditorBa→ Configuraci'n#

AuditorBa de seguridadR Administrar Perfil de auditorBa Aparecer> la pantalla con elnfiguraci'n est>tica pestaDa acti%a# Si un perfil acti%o ya e)iste,muestra en la Perfil acti%o campo#

riba el nombre del perfil de mantener en el Se ha perfil campo#%a a crear un perfil nue%o de auditorBa, seleccione Perfil→ Crear# Ambiar un perfil e)istente, seleccione Perfil→ Cambiar#

ecci'n inferior de la pantalla contiene pestaDas para definir filtros# *amero de leng etas corresponde al %alor del par>metro de perfilu 6 selection slots# 4entro de cada ficha, se define un Nnico filtro#

nir filtros para su perfil# Consulte el procedimiento a continuaci'n#QgNrese de (ue el =iltro acti%o indicador se establece para cada uno de los filtros (ue seea aplicar a su auditorBa#rdar los datos#a acti%ar el modo, seleccione Perfil→ Acti%ar#ague y reinicie el ser%idor de aplicaciones para hacer los cambioscti%a#ultarfiltros (ue defina se guardan en el perfil de auditorBa# Si se acti%a la

fil y reiniciar el ser%idor de aplicaciones, las acciones (ue responden a alguno de los%os filtrar e%entos (uedan registrados en el registro de auditorBa de seguridad#aR 0n algunas plataformas U& :, tambiOn es necesario para borrar compartido

moria e)plBcitamente por la ejecuci'n del programa cleanipc# 4e lo contrario,onfiguraci'n anterior permanece en la memoria compartida y los cambioserfil est>tico no surten efecto#




M950ión( Con!iguración , &so de las herramientas de auditor)a de seguridadn!iguración de !iltros din micosfiltros din>micos permiten responder a e%entos en tiempo real en su sistema

dio ambiente, las trampas de configuraci'n (ue le puede ayudar en el tratamiento de una garantBablema# Con esta opci'n, puede cambiar din>micamente los filtros utilizadosa la selecci'n de e%entos de auditorBa# 0l sistema distribuye los cambios a todos los%idores acti%os de aplicaci'n#a establecer filtros din>micos, debe configurar los par>metros del perfil (ue figuran en eluiente tabla#

metros para la con!iguración del per!il !iltros din micosfil de par>metros

/ local / archivocripci'n par>metro define los nombres y

caciones de los archi%os de auditorBa# 0staun par>metro opcional de partida<#7C# Fa no e)iste en la /eb

plication Ser%er 7#! #Q/ max_diskspace / local 0ste par>metro define el m>)imo

asignar espacio para los archi%os de auditorBa#/ selection_slots par>metro define el nNmero deos para permitir la auditorBa de seguridadstrar#igura muestra la pantalla (ue se utiliza para configurar la auditorBa de seguridad din>micaos#

ura *4( Con!iguración de los !iltros din micos de auditor)a033 S/* /, Todos los derechos reser1ados




n!iguración de !iltros din micosuisitos previoses de configurar filtros din>micos, primero debe configurar el siguiente perfil>metrosR

/ local / archivo/ max_diskspace / local

/ selection_slotscedimiento

a acceder a la AuditorBa de seguridad del registro de configuraci'n pantalla de la SAPnN est>ndar, seleccione nstrumentos→ Administraci'n→ Controlar→ Seguridadistro de auditorBa→ Configuraci'n#

AuditorBa de SeguridadR Administrar Perfil de auditorBa Aparecer> la pantalla con elnfiguraci'n est>tica pestaDa acti%a#

a el Configuraci'n din>mica ficha o "oto→ Configuraci'n din>micael menN#a parte superior de la pantalla, aparece una lista de los acti%osos y su estado de auditorBa# *a secci'n inferior de la pantalla

tiene fichas para el mantenimiento de los filtros#

gir Configuraci'n→ Cambiar#nir filtros para el ser%idor de aplicaciones# Consulte el procedimiento paraos definen a continuaci'n#QgNrese de (ue el =iltro acti%o indicador se establece para cada uno de los filtros (ue seea aplicar a la auditorBa en el ser%idor de aplicaciones#esea distribuir la definici'n del filtro a toda la aplicaci'n

%idores, seleccione Configuraci'n→ 4istribuir configuraci'n#

a cambiar el estado de la auditorBa en un solo ser%idor de aplicaciones, seleccione landicador de estado en la *ista de instancias acti%as mesa#

a luz %erde indica una auditorBa acti%ada#a luz roja indica una auditorBa desacti%ado#ntinNa en la p>gina siguiente





a acti%ar el filtro o filtrosQ en todos los ser%idores de aplicaciones, elegir nfiguraci'n→ Acti%ar auditorBa# Para desacti%ar los filtros en todo el%idores de aplicaciones, seleccione Configuraci'n→ 4esacti%ar auditorBa#erenciaR Si recibe un mensaje de error de programa, asegNrese ded tiene la autorizaci'n S 9=C con el S0CU %alor enutorizaci'n perfil# 0l sistema utiliza la funci'n remota

ma para obtener una lista de ser%idores, por esta raz'n, es necesario elautorizaciones correspondientes#Qultar

filtros de auditorBa se crean din>micamente en todos los ser%idores de aplicaciones acti%as#e acti%a el modo sQ, cual(uier acci'n (ue coincidan con cual(uiera de estos filtros sonstrado en el registro de auditorBa de seguridad# *os cambios en las definiciones de filtro son

cto inmediato y e)isten hasta (ue el ser%idor se cierra la aplicaci'n#!inición de !iltrosos filtros se definen los e%entos (ue el registro de auditorBa de seguridad debe registrar#

puede especificar la siguiente informaci'n en los filtrosR

uario y el cliente del sistema SAPse de auditorBa por ejemplo, los intentos de inicio de sesi'n de di>logo o modificaciones de usuariostros maestrosQ

o de e%ento por ejemplo, crBtica o importanteQde definir filtros (ue se guardan en perfiles est>ticas en la base de datos %er rocedimiento para el mantenimiento de perfiles est>ticosQ o puede definir >micamente para uno o m>s ser%idores de aplicaciones %Oase el procedimiento deblecimiento de filtros din>micosQ#033 S/* /, Todos los derechos reser1ados




!inición de !iltrosuisitos previosNmero de filtros (ue se pueden especificar se define en el par>metro de perfil

u 6 selection slots# Puede definir perfiles est>ticos o cambiar los filtros>micamente mediante la auditorBa registro de seguridad herramienta de configuraci'n# Para cada unognado filtro, una ficha aparece en la secci'n inferior de la pantalla#cedimiento

eccione la ficha correspondiente al filtro (ue desea definir#riba los nombres de los clientes y usuarios en los campos correspondientes#erenciaR Usted puede utilizar el car>cter comodBn ^Q %alor para definir el filtro para

os los clientes o usuarios# Sin embargo, una entrada parcialmente genOrico talmo ^ o ^ A3C no es posible#

eccione las clases de auditorBa correspondientes a los e%entos (ue deseaitorBa#e%entos de auditorBa se di%iden en tres categorBasR los crBticos, importantes y

crBtico# Seleccione las categorBas correspondientes a la auditorBa#

los e%entos crBticose%entos importantes y crBticosos los e%entos

gir Configuraci'n detallada#arece una tabla (ue contiene una lista detallada de las clases de auditorBa concorrespondientes clases de e%entos crBtico, gra%e, no crBticaQs te)tos de a%iso# *os te)tos de a%iso se corresponden con el sistemastrar los mensajes au)#Q

eccione los e%entos (ue desea auditar# Puede seleccionar un soloento o todos los e%entosR

eccionar un Nnico e%ento mediante la acti%aci'n de la "rabaci'n indicador a un e%ento especBfico#eccione todos los e%entos para una clase entera de auditorBa mediante la elecci'n delitorBa clase descriptor por ejemplo, 4i>logo de inicio de sesi'nQ#esea definir los e%entos de auditorBa sea m>s especBficamenteR






gir Aceptar los cambios#erenciaR Si ha realizado ajustes detallados, la clase de auditorBa ycadores de e%entos de clase ya no aparecen en la correspondientear ficha# Para cancelar los ajustes detallados y %ol%er a cargar el %alor por defectofiguraci'n, seleccione 9establecer#

a acti%ar el filtro, seleccione el =iltro acti%o indicador#mostración( Demostrar convirtiendo en una din micararpósitorop'sito de esta demostraci'n es para encender filtros din>micos para lastro de auditorBa# 0n esta demostraci'n se crear> un filtro, y luego ir a tomar algoiones# 0n una demostraci'n m>s tarde se lee el registro de auditorBa#sto (ue s'lo hay un sistema para toda la clase, los estudiantes no se llega aer esto en un ejercicio# 0llos ser>n capaces de lle%ar a cabo acciones y leerlos enegistro de auditorBa, pero s'lo el instructor debe crear filtros para el registro de auditorBa#os del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioRtu poder del usuario, A4 ; -T TntraseDaRablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para esta

mostraci'n como registro como el registro de auditorBa est> configuradoQ#Como A4 ; -T T, seleccioneR nstrumentos→ Administraci'n→ Controlar→ Seguridad9egistro de auditorBa→ Configuraci'n#

gir Configuraci'n din>mica#ra en el modo de cambio haciendo clic en el Cambiar 6 ostrar icono#e el Cliente y Usuario campos llenos con un asterisco# $ambiOn seleccionar todolases de auditorBa# Para el 0%entos, seleccionar $odos#

eccionar =iltro acti%o y acti%ar la auditorBa mediante la elecci'n Configuraci'n→i%ar auditorBa#mar algunas acciones (ue aparecen en el registro de auditorBa#cie sesi'n como @9A4 "9P-T T la contraseDa debe ser*/*t0. 0jecutar de los c'digos de operaciones para este usuario#





e de iniciar la sesi'n como "9P T T-= # Proporcione una contraseDa incorrecta y no para iniciar sesi'n#In!orme de An lisis de Auditor)aegistro de auditorBa de seguridad produce un informe de auditorBa de an>lisis (ue contiene elitados acti%idades# Con el informe de an>lisis de auditorBa, puede analizar los acontecimientosse han producido y se han registrado en un ser%idor local, un mando a distancia

%idor, o todos los ser%idores en el sistema de SAP#nforme de an>lisis de auditorBa elaborado por el registro de auditorBa de seguridad es similar alegistro del sistema# Puede %er el contenido de los archi%os de auditorBa de la auditorBalisis de informes#

%er el registro de auditorBa, puede utilizar el 4etalle Sel# bot'n debajo de laentos ficha para determinar (uO e%entos especBficos (ue desea grabar# $ambiOn puede utilizar alle Sel# para obser%ar los e%entos (ue SAP considera crBtico, gra%e ycrBtico#ura *5( <6ecución del in!orme de auditor)a de seguridadeer el registro de auditorBa de seguridad, puede utilizar una nue%a transacci'n,

2 &, para salir# Al seguir los caminos del menN, tanto en el A S y elnN est>ndar de SAP, utilice el c'digo de transacci'n S 2 para e%aluar la seguridadstro de auditorBa# *a ruta de menN en el A S es Sistema de AuditorBa→ *os ? informes de seguridad

AuditorBa de seguridad del registro de e%aluaci'n# Al configurar las funciones A S, (uede (ue desee cambiar esta ruta de menN para (ue apunte a S 2 & en lugar de S 2 #





uali2ación del in!orme de an lisis de Auditor)a

a acceder a la pantalla de registro de auditorBa de seguridad an>lisis de la SAPnN est>ndar, seleccione nstrumentos→ Administraci'n→ Controlar→ Seguridad9egistro de auditorBa de seguridad→ An>lisis 5 puede entrar S 2 &Q#Seguridad del registro de auditorBaR An>lisis *ocal Aparece la pantallaV an>lisis locall %alor predeterminado#

roduzca las restricciones (ue desea aplicar al informe de an>lisis de auditorBa

os campos correspondientes o mediante la selecci'n de los indicadores deseados por mplo, 4esde la fecha 6 hora, hasta la fecha 6 hora, usuario, transacci'n, las clases de auditorBa,%entos para seleccionarQ#erenciaR *os e%entos se clasifican en tres categorBas, crBticos,ortante, y no crBtica, con ser el m>s crBticoortante# Puede %er s'lo los e%entos crBticos, crBticos y

entos se%eros o e%entos de todo#

esea incluir o e)cluir los mensajes especBficos de su informeR

gir 4etallada Sel#eccione la *os e%entos de auditorBa (ue desea grabar#gir Aceptar los cambios *a marca de %erificaci'n de color %erdeQ#a leer el registro de auditorBa de seguridad, elija una de las siguientes opcionesRgir 9egistro de auditorBa de seguridad→ 8uel%a a leer registro de auditorBa para leer inicialmente oituir un registro leBdo pre%iamente#

gir 9egistro de auditorBa de seguridad→ 9e-display s'lo para %er la Nltima auditorBaiar lees# Por ejemplo, puede cambiar las opciones de selecci'n paradificar el informe de an>lisis de auditorBa sin tener (ue %ol%er a leer el registro#gir 9egistro de auditorBa de seguridad→ *eer registro de auditorBa combinar la informaci'n nue%aizando diferentes criterios de selecci'n con la informaci'n actual en elrme de auditorBa de an>lisis#ultar

esultado es el informe de an>lisis de auditorBa (ue contiene los mensajes (ueresponden a los criterios de selecci'n# ediante la selecci'n de un mensaje indi%idual,de %er informaci'n m>s detalladaendo el in!orme de an lisis de Auditor)a

esta secci'n, se describe c'mo leer el informe de an>lisis de auditorBa (ueducido usando el procedimiento, E8isualizaci'n del informe de an>lisis de AuditorBaE#033 S/* /, Todos los derechos reser1ados

@



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950nforme de an>lisis de auditorBa se di%ide en cuatro secciones principalesR

ormaci'n introductoriadatos de auditorBan>lisis estadBstico

ntenidoa informaci'n introductoria en la parte superior del informe, se encuentra eliones de selecci'n aplicado en el fichero de auditorBa para generar este informe por

mplo, de las clases de fecha 6 hora, hasta la fecha 6 hora, usuario y auditorBaQ#datos de auditorBa sigue a los datos introductorios y contiene la siguientermaci'n para cada e%ento de auditorBa en el archi%o de auditorBa (ue se aplica a su

erios de selecci'n dependiendo de su configuraci'n de pantallaQR

hampostanciaegorBa di>logo o por lotesQmero de mensaje

ditorBa de c'digo de clase por ejemplo, un intento de inicio de sesi'n de di>logo pertenece ae nNmero 2#Q

uarioigo de transacci'n de terminalnformaci'n de resumen se incluye al final de los datos de auditorBa por ejemplo,Nmero de registros leBdos, el nNmero de registros seleccionado y auditorBa

mbres de archi%osQ#

a seleccionado Con el an>lisis estadBstico en las opciones de %isualizaci'n, una estadBsticolisis completa el informe con la siguiente informaci'nR

adBsticas de instancia en el an>lisis de todos los casosQadBsticas de clienteorme de estadBsticas

adBsticas de transaccionesadBsticas de usuarioadBsticas de ensajesa lista de los contenido se proporciona al final del informe#





ura *?( +ectura del In!orme de Auditor)a de Seguridad '%er el registro de auditorBa, todas las herramientas del %isor de lista de salida sonponible# Usted puede ordenar por usuario, por c'digo de transacci'n, por mensaje# Usted puedear para %er s'lo los datos especBficos# Usted puede cambiar el diseDo y descargar datos a icrosoft 0)cel# 0l formato de transacci'n S 2 & le proporcionaas las herramientas (ue necesita para manipular el informe para satisfacer mejor sus necesidades#erenciaR Para %er los detalles de un mensaje especBfico, haga clic en la entradaegir 0ditar→ 4etalles# 0sto muestra una descripci'n detallada de

mensaje (ue incluye informaci'n tal como el nombre de la tarea, la clase,umentaci'n de mensaje y los detalles tOcnicos de la auditorBastro#033 S/* /, Todos los derechos reser1ados



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950ura *@( +ectura del In!orme de Auditor)a de Seguridad *mostración( +ea el Registro de auditor)a de seguridadpósitobjeti%o de esta demostraci'n es mostrar c'mo leer el registro de auditorBa#os del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioR"9P T T-AU4 $ntraseDaRablecer instruccionesR0n esta demostraci'n se asume la demo anterior fue

de realiz' un filtro din>mico se cre' y algNn tipo de accionesrrido desde el filtro se cre'#A medida (ue el "9P T T-AU4 $ usuario, seleccione Sistema de AuditorBa→ $op ? de seguridad

nformes→ Seguridad del registro de auditorBa de 0%aluaci'n para llegar a la transacci'n S 2 #

mine el registro y seDalar algunas acciones (ue se han producido#ed debe ordenar por el nombre de usuario, por el programa# 4emostrar algunasos comandos del %isor A3AP lista# 0s posible (ue desee demostraci'n de un filtro ocargar a icrosoft 0)cel - lo (ue le resulte m>s interesante#03 S/* /, Todos los derechos reser1ados03




minación de archivos antiguos de auditor)ali2aregistro de auditorBa de seguridad guarda sus auditorBas a un archi%o de auditorBa correspondiente al dBa#endiendo del tamaDo de su sistema SAP y especifica los filtros,rBa enfrentarse a una enorme cantidad de datos en un corto perBodoiempo#aR Se recomienda archi%ar los archi%os de auditorBa sobre una base regular iminar los archi%os originales (ue sean necesarios#ice este procedimiento para eliminar los archi%os antiguos de auditorBa# Puede eliminar los archi%os

odos los ser%idores de aplicaciones o de s'lo el ser%idor local en el (ue serabajo# Si un ser%idor de aplicaciones no est> en acti%o, se incluyea siguiente reorganizaci'ncauci'nR 0ste procedimiento s'lo elimina los archi%os de registro de auditorBa# *o hacelle%e a cabo cual(uier otra tarea administrati%a como el archi%ado# Si

hi%os son necesarios para referencias futuras, de forma manual debehi%ar los archi%os antes de eliminarlos#erenciaR &o se puede purgar los archi%os (ue son menos de ! dBas de edadYcedimiento

a acceder a la herramienta de auditorBa de seguridad del registro de reorganizaci'n de la SAPnN est>ndar, seleccione nstrumentos→ Administraci'n→ Controlar→ Seguridadistro de auditorBa→ 9eorganizaci'n#

riba el *a edad mBnima de archi%os (ue desea eliminar el %alor predeterminado es de ! dBasQ#aR 0l %alor debe ser m>s de !#

ste el Para todas las instancias acti%as indicador para eliminar los archi%os de auditorBa de todas las%idores de aplicaciones# 4eje en blanco el indicador si desea eliminar los archi%os en el ser%idor de aplicaciones local#i%e el Simulaci'n s'lo indicador de si en realidad no (uiere

minar los archi%os# 0n este caso, la acci'n s'lo es simulado#gir Programa→ 0jecutar#

ultaristema elimina los archi%os de auditorBa correspondientes a menos (ue usted eligi'ularQ# Usted recibe una lista (ue muestra cu>ntos archi%os se han eliminado yntos fueron retenidos en cada ser%idor de aplicaciones#033 S/* /, Todos los derechos reser1ados



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950guimiento de Alertas con el Monitor de CCMS Alertegistro de auditorBa de seguridad tambiOn genera alertas de seguridad para los e%entos registradosel Sistema de Computaci'n anagement Center CC SQ monitor de alerta#iante el control de las alertas de seguridad en el monitor CC S alerta,den identificar r>pidamente los problemas relacionados con la seguridad de su sistema# 4espuOsizar la inmediata on-alerta de acci'n para resol%er la alerta, puedelizar los archi%os de registro de auditorBa de seguridad para obtener m>s informaci'n acerca de la especBficaento (ue caus' la alerta#

Centro de Administraci'n de e(uipos de monitorizaci'n del sistema ar(uitectura,soluci'n dentro de mySAP &et/ea%er, centralmente super%isa cual(uier $

ornos de sistemas indi%iduales a soluciones mySAP reds complejos entornos de $ consisten en %arios cientos de sistemas# 0sponible en cada soluci'n mySAP y puede ser utilizado inmediatamente despuOsalaci'n# Usted puede e)tender la ar(uitectura de SAP y no SAP-

mponentes#monitor de alerta es una de las herramientas administradores pueden utilizar para con%ertirsescientes de los problemas con rapidez# 0jemplos de alertas se incluyen %alores (ue e)ceden

mites de umbral, o ciertos componentes del sistema (ue han estado inacti%as por unto periodo de tiempo# 0l monitor de alerta ayuda a reducir la carga de trabajo de(uipo administrati%o, ya (ue son notificados por mensaje cuando undici'n de alerta e)iste en lugar de tener (ue %igilar mNltiples puntos de datosnualmente#CC S alerta monitor ofrece las siguientes funcionesR

liza un seguimiento detalladoa alertas y los muestra con %alores de color porciona mOtodos de an>lisis y auto-reacci'n, (ue pueden ser asignadosementos especBficos en el monitor CC S alertapermite %er las alertas actuales y el historial de las alertased puede utilizar el monitor alerta CC S para obtener informaci'n completa y detalladonitoreo de todos los sistemas SAP y no SAP, los sistemas de acogida, y lae de datos#os los errores generar alertas, (ue se muestran en una estructura de >rbol# *atas m>s gra%es se muestran hacia arriba en la jerar(uBa de im>genes o >rbol

uctura# Si un nodo de >rbol no muestra una alerta, no hay ningNn error en laa entera por debajo de ella#alertas contienen una 0l indicador de estado con un color y un %alor numOrico#marillo representa una ad%ertencia, el rojo representa un problema, y el numOricoor representa la gra%edad de un posible error#

*3 S/* /, Todos los derechos reser1ados03



M950ión( Con!iguración , &so de las herramientas de auditor)a de seguridadde asignar an>lisis y auto-reacci'n mOtodos para las alertas# Cons mOtodos (ue puede procesar el error r>pidamente# Si hace doble clic en elta, la ar(uitectura de super%isi'n se inicia el procedimiento de an>lisis asignado por

mplo, la operaci'n de gesti'n de trabajos para un trabajo (ue ha terminadomaturamenteQ# Un mOtodo de auto-reacci'n, por otra parte, se iniciaom>ticamente tan pronto como se produzca la alerta# 9eacci'n auto-mOtodos incluyencuci'n de comandos del sistema operati%o y el en%Bo de un e-mail o S Snsaje al administrador del sistema#CC S alerta monitor contiene di%ersos puntos de %ista en los (ue tanto la actual

aire libre los (ue aNn no han sido analizadosQ son mensajes de problemasestra# *as alertas tambiOn se archi%an#ar(uitectura de monitorizaci'n est> predefinida sobre la base de las mejores pr>cticast> disponible para su uso en todos los sistemas SAP# *a ar(uitectura de monitorizaci'ntiene los siguientes elementosR

%alores de umbraltodos y ayuda detallada de un gran nNmero de atributos de seguimientos de monitor e)tensa establece con los monitores de todos los aspectos del sistemanejoed puede ajustar indi%idualmente todos los par>metros y configurar sus propios monitores#P proporciona un conjunto de plantillas de control est>ndar (ue se pueden utilizar paranitorear y responder a los e%entos en >reas especBficas de la acti%idad de $ # Uno de talesocupaciones plantilla de seguridad del sistema#ura *3( Plantilla de Securit, Monitor033 S/* /, Todos los derechos reser1ados



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950mostración( #ea la plantilla para la Seguridad en*0pósitorop'sito de esta demostraci'n es mirar a la plantilla en 9I2 (ue es

%iada a un monitor de seguridad#os del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioR"9P T T-AU4 $ntraseDaRmisma (ue la claseablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para estamostraci'n0legir Sistema de AuditorBa→ Configuraci'n del sistema→ Sistema→ CC SSeguimiento# 0ntonces CC S plantillas de seguimiento→ Seguridad#

de (ue tenga (ue seleccionar Alertas abiertas %er todas las alertas# SeDale laindicadores rojo y %erde#





uali2ación de alertas de seguridaduisitos previosegistro de auditorBa de seguridad debe estar acti%ado en el ser%idor de aplicaciones para (ue%ento tambiOn se acti%a en el monitor CC S alerta#cedimiento

a acceder a la pantalla CC S alerta desde el menN est>ndar de SAP,gir nstrumentos→ CC S → Control 6 onitoreo→ Alerta de monitor o empezar sacci'n 9I2 # *os conjuntos de monitores CC S aparecer#

a localizar las alertas de seguridad, e)panda el nodo SAP CC S monitor ntillas#eccione la Seguridad nodo y haga doble clic o seleccione Controlar→ Cargar er%isar#

monitor de seguridad aparece# *as alertas pro%ocadas por la seguridadstro de auditorBa se encuentran en los nodos para cada ser%idor de aplicaciones#

anda el nodo del ser%idor de aplicaciones especBfico o ser%idoresQ (ueea e)aminar#categorBas (ue aparecen corresponden a las clases de auditorBa registrados en

egistro de auditorBa de seguridad# *as entradas con las alertas acti%as se indican en rojomarillo, dependiendo del ni%el m>s alto de alerta crBtico o importanteQtente en la categorBa#

eccione las categorBas (ue desee e)aminar en cada ser%idor de aplicacionesnodo de ser%idor de aplicaciones completa#

gir 0ditar→ Alertas→ ostrar alertas#a lista (ue contiene las categorBas elegidas aparece#cesar las alertas segNn sea necesario#

or ;u usted de$e utili2ar el CCMS Alert Monitor deea utilizar el monitor alerta CC S por %arias razones# Unon es (ue se puede controlar especBficamente (uO es importante para ti# Para

mplo, cuando se mira en el registro de auditorBa de seguridad, %er muchos mensajes#em>s %ea estos mensajes para una amplia gama de tiempo#de crear un monitor (ue super%isa s'lo los inicios de sesi'n 9=C# Usted puede

gnar a alguien (ue monitor especBfico establecido# Uso del monitor de alerta CC Spermite acceder r>pidamente a la informaci'n (ue es muy importante#em>s, puede controlar los inicios de sesi'n 9=C (ue ocurren en todos los SAPemas# Usted controlar desde un solo sistema, pero se puede controlar la acti%idad en muchosemas#033 S/* /, Todos los derechos reser1ados

5



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950CC S alerta monitor tambiOn le permite crear reacciones personalizados

hechos concretos# Si sucede algo especBfico, puede especificar o el sistema debe reaccionar#dministrador del sistema es la persona (ue crea el monitor personalizado

gosV el administrador de la seguridad y el auditor del sistema son las personas (ueizar> el CC S alerta monitor y conjuntos de monitores#

CC S alerta monitor ofrece las siguientes %entajasR

monitores pueden ser creados especBficamente para monitorear lo (ue m>s importao)imadamente por ejemplo, los inicios de sesi'n 9=CQ#datos pueden ser controlados a tra%Os de muchos sistemas SAP#

nitores de alerta personalizados son creados por el administrador del sistema#nitores de alerta personalizados son utilizados por el administrador de seguridad yiblemente por el auditor#dministrador del sistema puede crear una plantilla especBfica para usted, elitor# *a %entaja de una plantilla personalizada es (ue usted ser> capaz de obtener itorBa registro de seguridad la informaci'n de todos sus sistemas a la %ez# Uno de losprincipales %entajas de los monitores CC S alerta es la capacidad de controlar chos sistemas desde una ubicaci'n#dos Nltimas secciones contienen una lista de %erificaci'n para la unidad y la lista de menNs utilizadas en A S# Por fa%or, indicar ambos a los estudiantes#

ta de compro$ación para la veri!icación del registro de auditor)a , CCMSertas de Seguridadando la auditorBa de registro de auditorBa y alertas CC S de seguridad, asegNrese de (ue(ue todo lo (ue es esencialR

gNrese de (ue el registro de auditorBa se usa cuando se necesitagNrese de (ue el an>lisis se est> realizando en S 2 & transacci'n#fi(ue (ue el CC S alerta monitor se utiliza para super%isar la seguridadstiones#gNrese de (ue las siguientes acti%idades est>n siendo monitoreadosR

ias de seguridad de bases de datoshi%o crBtico del sistema =reeSpaceAP %ertederos cortosema de registro de acti%idadualizar errores de procesamiento?3 S/* /, Todos los derechos reser1ados03




mentar el uso de monitores personalizados para monitorear >reas especBficasson crBticos para la seguridad# onitores personalizados tambiOn permitennitorizar sistemas mNltiples#tas de auditor)a de la in!ormación del men del sistemacaminos de menN siguientes en el Sistema de nformaci'n de AuditorBa se aplican a laas de esta lecci'nRa elloRmpruebe los registros de auditorBa # AU4Q e)isten en elsistema operati%o#

ice esta ruta de menNRema de AuditorBa→ Sistemanfiguraci'n→ =uncionamientoema→ ostrar 4irectorios SAP

%estigaci'n de registro de auditorBa par>metros rsau ^ Sistema de AuditorBa→ Sistema>metrosQ#Configuraci'n→ Par>metros _

Par>metros del sistema con4ocumentaci'n

alizar registro de auditorBa con la transacci'n2 o S 2 &Qminar los registros antiguos#ema de AuditorBa→ $op ? de seguridadormes→ 9egistro de auditorBa de seguridadoraci'nel menN SAP, seleccionetrumentos→ Administraci'n→

ntrolar→ 9egistro de auditorBa de seguridad→rganizaci'nel menN SAP, seleccione nstrumentosAdministraci'n→ Controlar→istro de auditorBa de seguridad→ Configuraci'nema de AuditorBa→ Sistema

nfiguraci'n→ Sistema→S onitoreo

ablecer filtros para el registro de auditorBa#ceda a la pantalla de alerta de seguridad#033 S/* /, Todos los derechos reser1ados

@



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM95033 S/* /, Todos los derechos reser1ados03




eccione un elemento (ue merece una mayor in%estigaci'n# XC'mo lo harBaomendamos continuar con su in%estigaci'nWea *cute los pasos (ue deben aparecer en el registro de auditorBa de seguridad y re%isar laiar de nue%o#

cie sesi'n como el usuario final,HRADMGRP-# #. 0jecute el informeormaci'n del sistema→ Administraci'n de Personal→ Administraci'n→pleado→ *ista de empleados#de seleccionar un rango de %alores para el informe, o elegir s'lo Programa

0jecutar e imprimir# Usted no est> fBsicamente %a a imprimir este informeVue desea es crear una solicitud de carrete#aR *a contraseDa para @9A4 "9P-T T deberBa serINIT.

rre la sesi'n como @9A4 "9P-T T# r al registro de auditorBa de seguridad# 0sta %ezel registro de auditorBa de seguridad para @9A4 "9P-T T y %er si los datos

rece para las acciones de este usuario tomaron#aR Usted puede o no puede %er las acciones de la auditorBa de seguridad

a iniciar @9A4 "9P-T T# 4epender> de c'mo los filtrosstablecieron para el registro#ultarn filtro se cre' para grabar todas las acciones de todos los usuarios, deberBa %er

nicio de sesi'n de su @9A4 "9P-T T usuario# $ambiOn debe %er larme de ejecuci'n y el cierre de sesi'n del usuario#ea /mo "9P T T-AU4 $, mirar el monitor de seguridad proporcionado por SAP# &otal(uier alerta (ue e)isten#cauci'nR Al realizar este ejercicio, es posible (ue %ea el mensaje,n %alor reportado en los Nltimos ! minutos#E Si la auditorBa de seguridadstros est>n llenos o si no hay acti%idad, puede (ue no haya ninguna corrientetas (ue se %ea# Sin embargo, no debe haber historial de alertas para (ue usted puedalizar# 4espuOs de %er el historial de alertas, por fa%or no desacti%e lantinNa en la p>gina siguiente


03



M950ión( Con!iguración , &so de las herramientas de auditor)a de seguridadorial de alertas Completo alertas borra el historial de alertasQ# Si desacti%aistoria, los otros estudiantes en la clase no tendr>n la oportunidad delizar los datos de alerta#

medida (ue el usuario auditorBa "9P T T-AU4 $, elegir Sistema de AuditorBa→ Sistemanfiguraci'n→ Sistema→ CC S onitoreo para mirar la SAP CC Snitorear Plantillas→ Seguridad super%isar#%ise las alertas abiertas#

aR Por fa%or, no complete las alertas#

mere tres cuestiones (ue aparecen en la Alertas abiertas (ue serBa %aliosoocer de nue%o en su sitio#





olución *( &tili2ar el registro de auditor)a , CCMSonitoreoea '

medida (ue el usuario de auditorBa, "9P T T-AU4 $, leer el registro de auditorBa de seguridad para re%isar %idades (ue se han registrado#

mo "9P T T-AU4 $, elegir Sistema de AuditorBa→ *os ? informes de seguridad→uridad del registro de auditorBa de 0%aluaci'n para ir al registro de auditorBa de seguridad#r para todas las clases de auditorBa y establecer el rango de fechas atr>s una o doses#(ue los intentos e)itosos y fallidos de inicio de sesi'n, los usuarios de este tipo de fondo

mo /=-3A$C@, y empez' informes#

mo "9P T T-AU4 $, elegir Sistema de AuditorBa→ *os ? informes de seguridadSeguridad del registro de auditorBa de 0%aluaci'n para ir al registro de auditorBa de seguridad#a 4esde la fecha 6 hora campo, establezca la fecha de %uelta por uno o doses#

eccione todas las casillas de %erificaci'n Clases de auditorBa#o 0%entos para seleccionar, asegurarT%D%"se selecciona#erimente con el registro de auditorBa de seguridad mediante el cambio de la clase de auditorBas e%entos para seleccionar#

gir 8uel%a a leer registro de auditorBa 5 seleccione *eer registro de auditorBaQa los mensajes y tratar de obtener una comprensi'n de lo (ueha estado ocurriendo en el sistema# Usted puede %er las entradas deusuarios del sistema /=-3A$C@, ^ SAP y SAPSFS# Usted debe %er ersos informes (ue se han ejecutado#

eccione un elemento (ue merece una mayor in%estigaci'n# XC'mo lo harBaomendamos continuar con su in%estigaci'nW

puestaR *a in%estigaci'n (ue harBa serBa, por supuesto, depender> de lansaje (ue %imos en el registro# Puede (ue tenga (ue ir a %er el 4 de usuario%estigar el acceso del usuario# $al %ez usted necesita para in%estigar nforme (ue se ejecuta# Para los inicios de sesi'n de 9=C, puede (ue tenga (uer (uO aplicaciones est>n pidiendo (ue el inicio de sesi'n para determinar si elario dispone de todas las autorizaciones necesarias#ea *cute los pasos (ue deben aparecer en el registro de auditorBa de seguridad y re%isar laiar de nue%o#






cie sesi'n como el usuario final,HRADMGRP-# #. 0jecute el informeormaci'n del sistema→ Administraci'n de Personal→ Administraci'n→pleado→ *ista de empleados#de seleccionar un rango de %alores para el informe, o elegir s'lo Programa

0jecutar e imprimir# Usted no est> fBsicamente %a a imprimir este informeVue desea es crear una solicitud de carrete#aR *a contraseDa para @9A4 "9P-T T deberBa serINIT.

cie sesi'n como el usuario final,HRADMGRP-# #. 0jecute el informeormaci'n del sistema→ Administraci'n de Personal→ Administraci'n

0mpleado→ *ista de empleados#de ejecutar el informe seleccionando Programa→ 0jecutar minas o actualizar el Personal del >rea para limitar su selecci'n# 0nersonal de >rea, seleccionar el >rea de su elecci'n, a continuaci'n, elijagrama→ 0jecutar e imprimir#a 4ispositi%o de salida campo, introduzcaDA'1 Puede introducir cual(uier impresorau elecci'nQ y haga clic en la marca %erde#a %er la salida del informe, seleccione Spool, a continuaci'n, elija 0jecutar#eccione la orden SP55* y elegir uestra el contenido

rre la sesi'n como @9A4 "9P-T T# r al registro de auditorBa de seguridad# 0sta %ezel registro de auditorBa de seguridad para @9A4 "9P-T T y %er si los datos

rece para las acciones de este usuario tomaron#aR Usted puede o no puede %er las acciones de la auditorBa de seguridad

a iniciar @9A4 "9P-T T# 4epender> de c'mo los filtrosstablecieron para el registro#

rre la sesi'n como @9A4 "9P-T T eligiendo Sistema→ Cierre de sesi'n#mo "9P T T-AU4 $, elegir Sistema de AuditorBa→ $op ? de seguridadormes→ AuditorBa de seguridad del registro de e%aluaci'n#a 4esde la fecha 6 hora campo, colo(ue el tiempo de %uelta de unas horas#a Usuario campo, introduzcaHRADMGRP-# #.gNrese de (ue todas las casillas de %erificaci'n Clases de auditorBa se seleccionan#gurar 0%entos para seleccionar se estableceA''.

gir 8uel%a a leer registro de auditorBa#ultarn filtro se cre' para grabar todas las acciones de todos los usuarios, debe

r el inicio de sesi'n de su @9A4 "9P-T T usuario# $ambiOn debe %er jecuci'n de informes y el cierre de sesi'n del usuario#ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados



dad *( +a Auditor)a de Sistemas de In!ormación SAP , otras herramientas de seguridad de SAP MonitoreoM950ea /mo "9P T T-AU4 $, mirar el monitor de seguridad proporcionado por SAP# &otal(uier alerta (ue e)isten#cauci'nR Al realizar este ejercicio, es posible (ue %ea el mensaje,n %alor reportado en los Nltimos ! minutos#E Si la auditorBa de seguridadstros est>n llenos o si no hay acti%idad, puede (ue no haya ninguna corrientetas (ue se %ea# Sin embargo, no debe haber historial de alertas para (ue usted puedalizar# 4espuOs de %er el historial de alertas, por fa%or no desacti%e laorial de alertas Completo alertas borra el historial de alertasQ# Si desacti%aistoria, los otros estudiantes en la clase no tendr>n la oportunidad de

lizar los datos de alerta#medida (ue el usuario auditorBa "9P T T-AU4 $, elegir Sistema de AuditorBa→ Sistemanfiguraci'n→ Sistema→ CC S onitoreo para mirar la SAP CC Snitorear Plantillas→ Seguridad super%isar#

gir Sistema de AuditorBa→ Configuraci'n del sistema→ Sistema→ CC S

uimiento#a la SAP CC S onitor de Plantillas haciendo clic en elno#ga doble clic en el monitor de seguridad#

Q Por el ser%idor para %er los registros de yourClic el signo m>s ema#registros se podrBa decir, Ereport' ningNn %alor en los Nltimos ! minutosE#

a %er el historial de alerta, seleccione Abra Alertas#%ise las alertas abiertas#

aR Por fa%or, no complete las alertas#

ora deberBa %er algunos datos de alerta#a in%estigar m>s a fondo, seleccione un elemento y seleccione ostrar alertas#ga doble clic en cual(uiera de alerta para obtener m>s detalles# Cuando sea doble clic en la alerta, la Sistema de registro de auditorBa se muestra#ionalmente, seleccione ostrar historial de alertas para in%estigar las alertas (uerrido en el pasado#

mere tres cuestiones (ue aparecen en la Alertas abiertas (ue serBa %aliosoocer de nue%o en su sitio#puestaR

C usuarios (ue han iniciado sesi'n en el sistemaregistros de usuario maestros (ue han cambiadoos de inicio de sesi'n




M950ión( Con!iguración , &so de las herramientas de auditor)a de seguridadsumen de la lecciónora deberBa ser capaz deRdentificar los re(uisitos para configurar el registro de auditorBa de seguridademostrar c'mo leer el registro de auditorBa de seguridademostrar el uso del monitor de alerta de seguridad en CC Sormación relacionada

uda en lBneaR SAP /eb Application Ser%er→ Seguridad→ AuditorBa de seguridadciar sesi'n#P &ote !;< <R =A1 - 9espuestas a las preguntas sobre la seguridadstro de auditorBaso de formaci'n A4 ? 7 - A%anzado Sistema de onitoreo de SAPR66ser%ice#sap#com6monitoring033 S/* /, Todos los derechos reser1ados



men de la unidadM950sumen de la unidadora deberBa ser capaz deRescribir el prop'sito del Sistema de nformaci'n de AuditorBa A SQonfigurar y asignar funciones A S y autorizacionesemostrar la capacidad de na%egar y usar las funciones A Sdentificar los re(uisitos para configurar el registro de auditorBa de seguridademostrar c'mo leer el registro de auditorBa de seguridademostrar el uso del monitor de alerta de seguridad en CC Sormación relacionada

R66ser%ice#sap#com6monitoringR66ser%ice#sap#com6ais





@al e su conocimientoistema de nformaci'n de AuditorBa est> destinado a las auditorBas e)ternas solamente#rminar si esta afirmaci'n es cierta o falsa#daderoso

as las funciones de menN para el Sistema de nformaci'n de AuditorBa comenzar conP AU4 $59 SAP AU4 $59#*as funciones de autorizaci'n comenzar con

P CA AU4 $59 SAP CA AU4 $59#e los espacios en blanco para completar la frase#

nfiguraci'n del Sistema de nformaci'n de AuditorBa re(uiere la descarga de unuete de apoyo especBfico#rminar si esta afirmaci'n es cierta o falsa#daderoso

a utilizar el Sistema de nformaci'n de AuditorBa, debe utilizar S0C9 transacci'n#rminar si esta afirmaci'n es cierta o falsa#daderoso

par>metros de instancia (ue se relacionan con el registro de auditorBa incluyen rsau>metros#rminar si esta afirmaci'n es cierta o falsa#daderoso

egistro de auditorBa de seguridad s'lo registra las cone)iones de usuario realizadas por 9=Ce)iones#rminar si esta afirmaci'n es cierta o falsa#daderoso033 S/* /, Todos los derechos reser1ados

@



e su conocimientoM950

spuestasistema de nformaci'n de AuditorBa est> destinado a las auditorBas e)ternas solamente#puestaR =alsoistema de nformaci'n de AuditorBa est> destinado a las auditorBas internas, e)ternasitorBas, inspecciones fiscales, y la seguridad de los datos#

as las funciones de menN para el Sistema de nformaci'n de AuditorBa empezar SAP AU4 $59# *as funciones de autorizaci'n comenzar con

P CA AU4 $59#puestaR SAP AU4 $59, SAP CA AU4 $59 funciones del menN para comenzar con los auditores SAP AU4 $59# *aciones de autorizaci'n empezar SAP CA AU4 $59#

nfiguraci'n del Sistema de nformaci'n de AuditorBa re(uiere la descarga de unuete de apoyo especBfico#puestaR =alsoistema de nformaci'n de AuditorBa no re(uiere ningNn tipo de apoyo especBfico

uete# 8iene como parte de la instalaci'n est>ndar#

a utilizar el Sistema de nformaci'n de AuditorBa, debe utilizar S0C9 transacci'n#puestaR =alsoistema de nformaci'n de AuditorBa se distribuye actualmente con funciones de menN#

par>metros de instancia (ue se relacionan con el registro de auditorBa incluyen rsau>metros#puestaR 8erdaderomayorBa de los par>metros relacionados con el registro de auditorBa comenzar con rsau#

egistro de auditorBa de seguridad s'lo registra las cone)iones de usuario realizadas por 9=Ce)iones#puestaR =alsoegistro de auditorBa de seguridad registra las cone)iones de usuario realizadas por todos los usuarios#




&nidad /segurar a trav s de los sistemas de usuario1 roles1

Autori2ación , Mantenimientoa secci'n trata sobre los diferentes controles (ue e)isten# 8amos a discutir eto importante como S $A3U 4 S, S P95"9A # $ambiOn %amos a discutir rop'sito de SU2<#idad de In!ormación general

esta unidad, se empieza por discutir los controles (ue est>n disponibles para la gesti'nuridad# 8amos a hablar de %arios registros (ue e)isten en SAP y c'mo los registrosuede utilizar para asegurar la acti%idad se registran de manera apropiada y sal%aguardados#

mos a discutir los objetos de autorizaci'n especBficos (ue deben ser protegidosonitoreados# 8amos a discutir la implementaci'n de seguridad en un sistema centralizado o

nera descentralizada#mos a cubrir una amplia gama de herramientas (ue se pueden utilizar para proteger suema#

6etivos de la &nidadpuOs de completar esta unidad, usted ser> capaz deR

cribir el %alor de la seguridad el c'digo de transacci'nuema recomendaciones para proteger la ejecuci'n del programalicar los objetos de autorizaci'n (ue protejan a los c'digos de transacci'n,as y ejecuci'n de programas

mostrar el uso de las herramientas SAP para asignar grupos de tablas y el programas tablas no protegidoscribir c'mo el campo de grupo de autorizaci'n se utiliza en muchos SAPas de aplicaci'nntificar los registros disponibles en un sistema SAPcriba c'mo se utilizan los registros033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950

ntificar (uiOn debe super%isar cada registrontificar el objeti%o de personalizar el mantenimiento defecto papelorescribe c'mo personalizar los %alores por defecto de mantenimiento de rol

mostrar tOcnicas para identificar cambios a la funci'nores por defecto de mantenimientontificar los problemas y proponer soluciones utilizando la informaci'n del usuarioemali(ue seguridad centralizada y descentralizadalicar la segregaci'n SAP recomendada de funciones en unorno de seguridad descentralizadantificar combinaciones inseguras de las autorizaciones, y analizar

gnaciones de autorizaci'n en los sistemas de producci'n utilizando el usuarioormaci'n del sistemamostrar la capacidad de depurar las autorizaciones utilizando el Sistemarramienta de seguimientouctura de la seguridad para los usuarios de SAP SAP est>ndar ^, 44 C y SAPy/atch

uema crBticos relacionados con el inicio de sesi'n, los par>metros del perfil y la forma de gestionar s par>metrosmine los registros de cambios para cambios de usuario y de grupontenidos de la unidadción: Control de acceso a los códigos de transacción tablas 4ra%as ;2

e%ostración: Encontrar Qui6n tiene acceso a SAT/B9ADIS 4 descubre

Qu6 tablas se 1en a7ectados ;;e%ostración: De%ostrar la situación con SA*? ,?/5 (0<ercicio 3: Códigos de Control de transacciones tablas 4 +rogra%as (0;

ción: 9so de los registros de segui%iento de la a+licación (2<e%ostración: De%ostración de registros de a+licación (2'e%ostración: ?egistros WebFlo (2-ocedi%iento: El uso de los docu%entos de Ca%bio (3(e%ostración: En cuanto a los docu%entos de ca%bio (3(e%ostración: ?egistros de Ca%bios en datos de tabla (3<ocedi%iento: Co%+robación de registro de la tabla (3'ocedi%iento: /cti1ación del registro de la tabla (3)ocedi%iento: Se %uestran las Tablas de sesión (3-e%ostración: ?egistros de ,estión del Ca%bio (3;

e%ostración: En cuanto a los registros de ca%bio +ara los usuarios 4as autori8aciones (<(ercicio <: 9so de los registros de segui%iento de la a+licación (<&

ción: Có%o +ersonali8ar las herra%ientas de %anteni%iento de rol en S/* Solutions (&2




M950dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2acióne%ostración: Có%o acer Ca%bios en S92< 4 có%o esosos ca%bios a7ectan a un +a+el (&;e%ostración: Có%o 1er los ca%bios reali8ados en S92< ('0ercicio &: Controles +ara la erra%ienta de 5anteni%iento *a+el ('&

ción: Fi ación de usuario 4 ad%inistración de gru+os ())e%ostración: ?e1isión de los in7or%es (-;ocedi%iento: 9sando ST0( a Trace autori8ación (;&ocedi%iento: /nali8ar ST0( Trace +ara autori8aciones (;'e%ostración: ?eali8ar un segui%iento ST0( 4 anali8ar los resultados (;'ocedi%iento: El usuario S/* Desacti1ar (;;ocedi%iento: De7inir un usuario #e Su+er 200ercicio ': El usuario *rotección 4 /d%inistración de ,ru+o 20&





cción( Control de acceso a los códigos de transacción1:a$las1 , Programs3'

aci'n de la claseR 7 minutoss;ue6o de la leccióna lecci'n discute una %ariedad de controles (ue est>n disponibles para controlar eso y ejecuci'n#concreto, %amos a discutir el %alor de la obtenci'n por el control de acceso agos de transacci'n# 8amos a discutir los usuarios aseguran (ue tienen acceso directos tablas# 5tra cuesti'n a considerar es la ejecuci'n directa de programas yrmes, es decir, de sujeci'n (ue se puede ejecutar (uO programas#


cribir el %alor de la seguridad el c'digo de transacci'nuema recomendaciones para proteger la ejecuci'n del programalicar los objetos de autorizaci'n (ue protejan a los c'digos de transacci'n,as y ejecuci'n de programas

mostrar el uso de las herramientas SAP para asignar grupos de tablas y el programas tablas no protegidoscribir c'mo el campo de grupo de autorizaci'n se utiliza en muchos SAPas de aplicaci'na unidad describe %arias maneras de controlar el accesoR %amos a discutir laersos objetos de autorizaci'n $C540, S P95"9A , S $A3U 4 S y

os los tipos de registros# Para poder utilizar los registros, es necesario comprender laa de aplicaci'n de cada registro se relaciona# *os estudiantes no necesariamente %a a utilizar os los registros, s'lo (ueremos (ue sepan los registros principales (ue est>n disponibles#emplo de <mpresased (uiere asegurarse de (ue ha tomado todas las medidas posibles para mantener suema seguro# Usted ha estado enfocando sus esfuerzos en materia de seguridad dentro de cadaa de aplicaci'n# Ahora lo (ue necesita para concentrarse en objetos de autorizaci'n (uectar muchas >reas de aplicaci'n# 0n particular, usted (uerr> asegurarse de (uegos de transacci'n, los informes y el acceso directo a las tablas estOn debidamente protegidos#ten registros escritos a tra%Os de sistemas SAP# $ienes (ue ser consciente destros (ue pueden ayudarle en su objeti%o de garantizar el acceso est> adecuadamentecedida#




M950ión( Control de acceso a los códigos de transacción1 ta$las , Programasestro Plan de tra$a6o para esta lección

a lecci'n discute lo (ue usted debe buscar cuando se realiza un sistema deitorBaR

mo los c'digos de transacci'n se utilizan para controlar el accesouiOn puede mirar directamente a los datos en las tablasntroles de protecci'n en relaci'n con la ejecuci'n del programa especBfico

uridad relati%as a los desarrolladoresarrolladores podrBa ser la amenaza m>s alta seguridad cual(uier empresa debe hacer frentesobre una base diaria#minos de men en el Sistema de In!ormación de Auditor)aas las sendas de menN utilizados en el Sistema de nformaci'n de AuditorBa A SQ se enumerannal de esta lecci'n# 8amos a utilizar las rutas de los menNs siguientes en A S paralecci'nR

ema de AuditorBa→ 4esarrollo 6 Personalizaci'n→ Programas A3AP→ ###usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n y

autorizaciones→ ###'sito 6 esas de AuditorBa→ nformaci'n 6 9esumen→ $abla de informaci'n

###'sito 6 esas de AuditorBa→ Autorizaci'n para tablas→ ###ntrol de acceso Código de transacciónodos los sistemas SAP, un usuario obtiene acceso a los datos ya sea a tra%Os de transaccionesgos o por medio de una ruta de menN# Una forma de controlar la seguridad es controlar sacciones (ue el usuario puede acceder# 0sto se puede hacer con autorizaci'n

etos tales como S $C540# 0l %alor de obtener por el c'digo de transacci'n %arBael tipo de sistema de SAP# Por ejemplo, en un SAP 9 6 ! del sistema, tales como

P 9 6 ! 0nterprise, asegurando por el c'digo de transacci'n es fundamental# Asegurar el c'digo de transacci'n en un SAP 9 6 ! sistema actNa como una primera lBnea de defensa#

o es particularmente cierto en un sistema SAP 9 6 !, por(ue muchos transacci'ngos se descomponen por la acci'n (ue usted puede tomar#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950digos de transacción ligada a las accionesci'nar igo de transacci'n???

mbiar 222

trar

!!

a en un SAP 9 6 !emadedor enterdenes de %entadedor enterdenes de %entadedor enterdenes de %entaa un SAP 9 6 !, al proteger el c'digo de transacci'n, muchas %ecesbiOn est> protegiendo de la acci'n de un usuario puede tomar# Para algunas empresas,tecci'n por el c'digo de transacci'n podrBa ser una protecci'n suficiente# Paramplo, si un departamento de %entas completo puede crear 'rdenes de %enta, puede ser ciente para proteger el acceso a los c'digos de transacci'n de 'rdenes de %enta# Una %ez (ue

>n dentro de los c'digos de transacci'n de 'rdenes de %enta Crear pedido de cliente transacci'ngo 8A ?Q, por ejemploQ, (ue fijan otros %alores de campo no son crBticos# 0staenario puede ser cierto para una empresa (ue tiene un grupo central de %entasizado para todo el mantenimiento de 'rdenes de %enta#un SAP 9 6 !, la protecci'n del c'digo de transacci'n puede incluir tegiendo tanto al >rea de aplicaci'n y las acciones (ue un usuario puede tomar

rea de aplicaci'n#un sistema SAP 3usiness nformation /arehouse SAP 3/Q, un mySAPtomer 9elationship anagement mySAP C9 Q, o mySAP unplier 9elationship anagement mySAP S9 Q del sistema, hay

m>ticamente menos c'digos de transacci'n en comparaci'n con el SAP 9 6 !#ien asegurar por el c'digo de transacci'n ayuda, no proporciona

mayor protecci'n debido a un c'digo de transacci'n abarca muchos%idades# Por ejemplo, en un sistema SAP 3/, un c'digo de transacci'nrca casi todos los informes, otro c'digo de transacci'n abarca

mayorBa de las tareas de configuraci'n de SAP 3/ y administraci'n#




M950ión( Control de acceso a los códigos de transacción1 ta$las , Programas

ura *9( +os sistemas de SAP , códigos de transaccióngurando al mismo tiempo por el c'digo de transacci'n es siempre importante, el ni%el de

nularidad (ue proporciona depende del sistema SAP usted est> asegurando#un SAP 9 6 !, cinco principales objetos de autorizaci'n se utilizan para proteger gos de transacci'n (ue el usuario puede acceder aR

$C540 - se utiliza en todos los sistemas SAP para cada m'dulo$C540 - utilizado para 9ecursos @umanos c'digos de transacci'nC540 - utilizado para los c'digos de Calidad de transacci'n de mantenimiento

$C540 - utilizado para los c'digos de transacci'n de antenimiento de PlantasC540 - utilizado para los c'digos de almacenaje de gesti'n de transaccionesobjetos de autorizaci'n para la protecci'n de las transacciones (ue se utilizan con m>suentemente son S $C540 y P $C540# S $C540 Se utiliza en todos los SAPemas como SAP 9 6 !, SAP 3/ y SAP S9 # S $C540 esrimera lBnea de defensa, ya (ue siempre se marca antes (ue cual(uier otroect#P $C540 autorizaci'n se utiliza mucho en mySAP @9#ed puede utilizar el Sistema de nformaci'n de AuditorBa para %er (uiOn tiene acceso a (uOgos de transacci'n a tra%Os de S $C540 y los objetos de autorizaci'n $C540#ntrol de acceso :a$la

%eces los usuarios tienen (ue obser%ar los datos directamente# Para %er los datos de una tabla,usuarios utilizan estos c'digos de transacci'n con mayor frecuenciaR S0?7, S0?7& o S0?ZV

o S !?, y S0?2#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950eto de autorizaci'n S $A3U 4 S se utiliza para controlar el acceso de tabla# *oermina lo (ue alguien puede mirar en la tabla cuando se utiliza cual(uiera de losgos de operaciones anteriores# Adem>s, se comprueba cuando S $A3U 4 Scuci'n de los c'digos de transacci'n en la "#gurar S $A3U 4 S se discute en el curso A4 ;< Vembargo, a(uB se discute controla y lo (ue debe buscar, relati%a a lauridad implementada por S $A3U 4 S#endiendo de su audiencia, puede (ue tenga (ue proporcionar algunos negocios

mplos de por (uO alguien tendrBa (ue tener acceso directo a las tablas en una producci'nbiente# Por ejemplo, alguien (ue trabaja en un ni%el a%anzado en una de ayuda puede necesitar mirar a los datos# =ijar fechas cercanas en = , mostrar un poco de

nfiguraci'n "#n(ue la mayorBa de las personas no necesitan tener acceso a las tablas en la producci'nV algunas personasnecesita algo de acceso#

mbiOn puede ser (ue desee ir a demostrar S0?7 o S0?7& y mirandoalgunas mesas# 0s posible (ue desee incluirR A9A materialesQ, 03A&cumentos de compraQ, PA 2 datos de los empleados de direcci'nQ, 3[P= financiera

osQ#declaraciones siguientes se e)plica lo (ue usted debe saber acerca de directoa de accesoR

mayorBa de los usuarios no necesitan tener acceso directo a las tablas en la producci'n#ando el acceso es necesario, utilice el c'digo de transacci'n S ! #O al tanto de todos los (ue tienen acceso a los c'digos de transacci'n S0?7 y7& en la producci'n#n usuario re(uiere c'digos de transacci'n S0?7 y S0?7&, considerereaci'n de un c'digo de transacci'n personalizado (ue lle%a al usuario directamente a laa# 0sto asegura (ue los usuarios pueden %er una tabla especBfica#

mayorBa de los usuarios en un entorno de producci'n no necesitan directaeder a las tablas, sino %er los datos a tra%Os de c'digos de transacci'n# Sin embargo, unos pocosente necesita acceso# Por ejemplo, alguien (ue trabaja en una producci'nblema necesita tener acceso a los datos en un formato en bruto para ser capaz de in%estigar roblema# 5tro ejemplo podrBa ser alguien (ue tiene (ue %er figuraci'n de las >reas de negocio de la empresa o c'digos, o tal %ez (ue necesitan para

r mensuales fechas cercanas o fechas de factura de procesamiento#B hay m>s ejemplos de situaciones en las (ue un usuario tendrBa (ue actualizar asR





Sistemas de Proyectosel >rea de Control

nstalaciones de proyecto, pasos especBficos debe ser realizado, por ejemplo,plicaci'n de los gastos generales y luego la soluci'n del proyecto# Por lo general, cada paso

uiere un mes de contabilidad y un aDo como un par>metro# *os usuarios actualizar eltabilidad mes y aDo directamente en la tabla $8A98# 0stas %ariables sonizado en los programas de flujo de trabajo (ue se crean para las nstalaciones de proyectoSQ Aplicaciones de la zona# 0sto se realiza normalmente utilizando el c'digo de transacci'n

#a 0l control de >rea, un usuario ejecuta un informe (ue podrBa mostrar

crepancias entre el informe de partidas indi%iduales detallado y el resumen delorme de un centro de costos# *os resultados del informe se proporcionan datos a la in%estigaci'n#in%estigaci'n se realiza a menudo en la transacci'n S0?7 c'digos y S0?7&#

proporcionar acceso directo a las tablas, se debe utilizar la transacci'ngo S ! S !? o# S ! S !? o es la opci'n preferida debido a (ue unrfaz de mantenimiento debe e)istir para (ue la tabla para %er la tabla

S !? o en# 0sto significa (ue usted no puede %er cual(uier mesa en S !!?, la tabla debe tener una interfaz creada especBficamente para S !!?#

cauciones adicionales se deben tomar para unos pocos elegidos (ue es necesario contar digo de transacci'n S0?7 o S0?7&# Parte del personal de apoyo a la producci'ntenga acceso a S0?7 o S0?7&# Cuando sea posible, se puede hacer S0?7 o7& m>s seguro mediante la creaci'n de un c'digo de transacci'n personalizado# Con una costumbrego de transacci'n, el usuario ejecuta S0?7 o S0?7& con una %ista de laa (ue re(uieren# 0sto significa (ue ellos no entran en el nombre de la tabla, sinodigo de transacci'n costumbre (ue tiene en transacci'n S0?7 o S0?7&rectamente en la tabla#unos ejemplos de c'digos de transacci'n S0?7 son personalizados para la AuditorBaciones de informaci'n del sistema# Por ejemplo, como usuario de auditorBa, "9P T T-AU4 $,

gir Sistema de AuditorBa→ Configuraci'n del sistema→ Clientela→ Client 5%er%ie+#er%e (ue el 8isi'n general del cliente es el c'digo de transacci'n S0?7 $ # Cuando secutar este c'digo de transacci'n, (ue le lle%a a S0?7, sino (ue tambiOn te lle%actamente en la tabla $ # 0sto proporciona un ni%el adicional de seguridad por(ue

se puede cambiar la tabla (ue est> accediendo a tra%Os del c'digo de transacci'n#declaraciones siguientes se e)plica lo (ue usted debe saber acerca de

eto de autorizaci'n S $A3U 4 SR$A3U 4 S se comprueba cada %ez (ue alguien mira a los datos en una tablactamente con una de estas transacciones - S0?76S0?7&, S0?Z, S ! ,? - o la guBa de implementaci'nQ#

$A3U 4 S tiene dos camposR Acti%idad y Autorizaci'n de grupo#


@




Autorizaci'n de grupo campo se asigna a las tablas (ue el usuario puedeeder# *a asignaci'n se realiza en la tabla $44A$# $abla $44A$pas de las Autorizaci'n de grupo a una lista de tablas#ura /0( Asignación de Grupos de autori2ación de los cuadrosun entorno de producci'n, en todos de sus sistemas SAP, es necesarioer (uiOn tiene acceso a S $A3U 4 S# Para saberlo, de su auditor el elegir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ 9oles → 9oles de autorizaci'n objeto# A medida (ue descubre elciones, deber> %er el acceso especBfico para cada funci'n tiene S $A3U 4 S#

ontrar a las personas (ue tienen acceso a la funci'n y los %alores especBficos S $A3U 4 Smite# Usted tambiOn tendr> (ue %er los c'digos de transacci'n in%olucrados# Una %ezcompletar esto, usted sabr> (uiOn tiene acceso a S $A3U 4 S,los c'digos de transacci'n (ue pueden utilizar para llegar a las tablas directamente, y (ueas (ue pueden acceder# Usted debe %erificar lo siguiente en una producci'n

biente para S $A3U 4 SR

O roles permitir el acceso a S $A3U 4 SuO usuarios tienen acceso a los roles (ue incluyen S $A3U 4 Sos usuarios tambiOn tienen acceso a los c'digos de transacci'n (ue permiten directa

eso S0?2, S0?76S0?7&, S0?Z, S ! , S !?Qa los usuarios (ue tienen S $A3U 4 S en combinaci'n con acceso a una tablasacciones, las tablas (ue puede el acceso de los usuarios




M950ión( Control de acceso a los códigos de transacción1 ta$las , Programasmostración( <ncontrar ui n tiene acceso a SH:A>&HDISescu$rir ;u ta$las se ven a!ectadospósito

mostrar c'digos personalizados de transacci'n para S0?76S0?7&, demuestrancubrir (uiOn tiene acceso a las tablas#os del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioR"9P T T-AU4 $ntraseDaRmisma (ue la claseablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para estanifestaci'n#

nicie sesi'n como "9P T T-AU4 $#

gir Sistema de AuditorBa→ Configuraci'n del sistema→ Clientela→ Clientei'n de conjunto#

Dale c'mo el c'digo de transacci'n es una %ersi'n personalizada de76S0?7&#

uiente descubrir (uiOn tiene acceso a S $A3U 4 S#mo "9P T T-AU4 $, elija *os usuarios y las autorizaciones de auditorBa→ nformaci'nusuarios del sistema y Autorizaciones→ 9oles → 9oles de autorizaci'n objeto#

ga clic en el $odas las selecciones icono#rar T ADM23 # # 4 en la Papel campo# Seleccione la flecha amarilla delel campo e introduzca tambiOn4 GRP-# #.rar " TA)U DI" en la 5bjeto campo#

erBa %er dos rolesR $ A4 ; T T "0&09 C yT T SFS$0 AU4 $59#e profundiza en cada funci'n, %er> la funci'n genOrica comorisco para Autorizaci'n de grupoV el papel de auditor ha" 4 para laorizaci'n de grupo#Utilice $44A$ mesa para descubrir (uO tablas se asignan arupo de autorizaciones S ^#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950ntrolar la e6ecución del Programaed puede utilizar el S P95"9A objeto de autorizaci'n para controlar elorizaci'n para ejecutar un programa# S P95"9A utiliza la siguiente

mposR

ci'n del usuario determina si se puede iniciar el programa y programarlo para (ue secutar en modo batch, y (uO %ariantes se pueden utilizar#orizaci'n de grupo determina los programas (ue puede ejecutar#

Autorizaci'n de grupo campo pro%iene del grupo de autorizaci'n en la

butos de un programa A3AP#ura /'( Grupo de autori2ación en un programa A>APa este objeto de autorizaci'n para ser eficaces, los programas de A3AP debe tener unaorizaci'n de grupo asignado a ellos en los atributos del programa# Si ungrama no tiene un grupo de autorizaci'n asignado, el sistema hacelle%e un che(ue por nuestro S P95"9A # Por esta raz'n, es posible (ue desee

mpre asignar un grupo de autorizaci'n a los programas creados por los clientes#n el 9SCSAU$@ programa, puede asignar un grupo de autorizaci'na todos los programas ejecutables o a programas indi%iduales o grupos de programa#o asegura una protecci'n eficaz#de ejecutar 9SCSAU$@ sin modificaci'n# Puede transportar el

mbios y copiarlos despuOs de una actualizaci'n de %ersi'n#





digo de transacción SA/3 , SHPR-GRAMigo de transacci'n SA!\ a menudo se utiliza para ejecutar informes# Se puede acceder ilmente desde cual(uier pantalla de SAP mediante la elecci'n Sistema→ Ser%icios→ nformes#a poder llegar al c'digo de transacci'n SA!\, un usuario debe tener los siguienteseder a S P95"9A R

ci'n del usuarioREN5IARorizaci'n de grupoR Se desconoce el %alor re(uerido

a %ez (ue un usuario puede llegar a SA!\ Sistema→ Ser%icios→ nformesQ, el usuario puede

ar cual(uier proporcionar el nombre y ejecutar el informe# Autorizaciones adicionales> controlada s'lo si hay un %alor para el Autorizaci'n de grupo en laortar Atributos# Si e)iste un %alor de Autorizaci'n "roup, el usuario debeen ese %alor en S P95"9A # Si no hay ningNn %alor, sin embargo, el Nnicotroles adicionales de autoridad (ue se producir>n son los (ue est>n dentro del informe orograma de usuario se est> ejecutando en el c'digo de transacci'n SA!\#igo de transacci'n SA!\ presenta los siguientes problemas de seguridadR

da usuario debe tener la misma autorizaci'n para S P95"9A aar a SA!\#

a %ez en el SA!\, el usuario puede intentar ejecutar cual(uier programa#o hay %alor en la Autorizaci'n de grupo campo en el programa,

cuci'n comenzar>#hos programas de SAP e informes son entregados sin Autorizaci'n

po %alores#desarrolladores no pueden proporcionar Autorizaci'n de grupo %alores cuando

ar programas personalizados o informes#n programa o informe no tiene un Autorizaci'n de grupo y haceienen AU$59 4A4-C@0C[ instrucciones dentro del programa, losgrama tiene un alto riesgo por(ue la mayorBa de los usuarios pueden acceder SA!\#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950ura /*( Programa sin grupo de Autori2aciónido a (ue faltan grupos de autorizaci'n, SAP recomienda (ue todos los informes seanesible por el usuario de una funci'n# 4entro de la funci'n (ue puede tener acceso a larme o programa sea de un c'digo de transacci'n o a tra%Os de un menN de >rea (ueuye las transacciones de informaci'n# SAP recomienda (ue se le dO a su finusuarios acceden al c'digo de transacci'n SA!\, cuando sea posible# Si los sistemas de los clientessido en %i%o por un largo tiempo y han estado utilizando SA!\, es f>cil de decir,stringir el acceso a SA!\#E Sin embargo, es muy difBcil de poner en pr>ctica el

mbiar ya (ue los usuarios son muy e)perimentados y c'modos con el uso\#ugar de utilizar SA!\, SAP recomienda crear transacciones costumbregos de cada informe# ediante la creaci'n de un c'digo de transacci'n personalizado, tieneadido una comprobaci'n adicional de S $C540 para la ejecuci'n del informeograma#

a opci'n para asegurar SA!\ es la siguienteR

odos los informes personalizados 6 programas desarrollados, incluyen una Autorizaci'npo en el programa#ice informe 9SCSAU$@ para asignar Autorizaci'n de grupo %alores agramas 6 informes (ue actualmente no los tienen#usuarios siguen utilizando SA!\, pero todos los programas ejecutados desde este

go de operaci'n tiene un Autorizaci'n de grupo para protecci'n adicional#nsiderando solicitar todos los informes personalizados 6 programas incluyen al menosAU$59 4A4-C@0C[ declaraci'n dentro del c'digo#




M950ión( Control de acceso a los códigos de transacción1 ta$las , Programasuso del campo de grupo de autori2aciónsta ahora hemos hablado de la Autorizaci'n de grupo campo en relaci'n con dosasR protecci'n de programas A3AP 6 informes y proteger el acceso directo aas# *a Autorizaci'n de grupo campo se utiliza en muchas >reas de SAP# Se puedeuieren un significado diferente en cada aplicaci'n en la (ue se utiliza# 0n algunosaciones, es otro campo de datos maestros, cuando el campo se actualiza,una comprobaci'n de autorizaci'n adicional contra ese campo#

%eces los grupos de autorizaci'n debe estar configurado en una tabla de referencia,mo por ejemplo con la tabla en $44A$# 0n otras aplicaciones, el %alor (ue seoducido en los datos maestros se usa como un %alor a comprobar#

ejemplo del uso de la Autorizaci'n de grupo campo en el master de datos est> enrea financieraR C'digo de transacci'n =S # 0sta cuenta de datos incluye unaorizaci'n de grupo campo#

ura /5( Campo de Autori2ación de grupo en I Master Dataigura muestra una cuenta " 6 *# &ote la Autorizaci'n de grupo campo enpantalla# Usted se dar> cuenta (ue para este disco, el Autorizaci'n de grupo

mpo est> en blanco# 0sto s'lo significa (ue cuando se ejecuta este c'digo de transacci'n,mprobaciones de autorizaci'n se producir>, pero no habr> %erificaci'n contra estempo, ya (ue est> en blanco#

embargo, si alguien cambia este campo en los datos maestros mediante la introducci'n de un %alor,%alor se comprueba en tiempo de ejecuci'n# 0n este c'digo de transacci'n, la " 6 *nta y C'digo de la 0mpresa campos se e%alNan para las autorizaciones correspondientes#ay datos en la Autorizaci'n de grupo campo, se e%alu' tambiOn#03




dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950ed s'lo tiene (ue ser consciente de (ue el Autorizaci'n de grupo campo no s'loinente para el control de acceso a las tablas y ejecuci'n del programa, pero es tambiOnizado de di%ersas maneras a tra%Os de las aplicaciones SAP#ntrol del Programa de Desarrollo , depuración

4080*5P es el objeto de autorizaci'n general para A3AP /or benchetos# Se utiliza para otorgar las autorizaciones de acceso para todos /or bench A3AP

mponentes, (ue incluyen las siguientesR

rramientas de desarrollo A3APcionario A3AP y modelador de datoseen Painter y Painter enNerador de funcionesositorio de na%egador y sistema de informaci'nP Smart =ormsde los campos en el objeto de autorizaci'n S 4080*5P se enumeran a continuaci'nR

arrollo de 4 de objetoR Se utiliza para definir los tipos de objeto para el (ueario est> autorizadoi%idadR Se utiliza para indicar la acci'n (ue puede tomar por ejemplo, en la /eb%idor de aplicaciones de 7,< , la acti%idad ?7 se re(uieren para ejecutar unaci'n del m'duloQde la perspecti%a de la producci'n, estar al tanto de todos los (ue tienen4080*5P autorizaci'n# &ormalmente objeto de autorizaci'n S 4080*5Pes re(uerido por cual(uier persona en la producci'n# 0n la producci'n, ser especialmentedado con a(uellos (ue tienenDE)UG en la 4esarrollo de 4 de objeto campo# *auiente tabla muestra c'mo las autorizaciones de depuraci'n se puede configurarRarrollode objeto

$FP0QUGUG

UGi%idadC$8$Q

cripci'ntrar

mbiar contenido de campos y "otolaraci'ntrar en los programas del sistema yuraci'n del nNcleoed debe estar al tanto de cual(uier persona (ue tenga autorizaci'n de depuraci'n en

ducci'n#3 S/* /, Todos los derechos reser1ados03



M950ión( Control de acceso a los códigos de transacción1 ta$las , Programasta de control para controlar los códigos de transacción1 Mesas1rogramasuditor debe comprobar lo siguiente cuando se controlan los c'digos de transacci'n,as, y programasR

ga en cuenta las personas (ue tienen acceso a los c'digos de transacci'n en S0?76S0?7&ducci'n# $ambiOn tenga en cuenta (uO tipo de acceso se concede a S $A3U 4 Sa producci'n#

mentar el uso de c'digos de transacci'n personalizados para usuarios (ue necesitan7 para una tabla especBfica#

tringir el acceso a S 4080*5P en la producci'n# &o conceda 403U"eso por S 4080*5P a menos (ue sea absolutamente necesario#poner de una polBtica (ue re(uiere (ue todos los informes personalizados (ue podr>n conectarse a ungo de transacci'n personalizado#ite el acceso al c'digo de transacci'n SA!\ en la producci'n#

tas de auditor)a de la in!ormación del men del sistemacaminos de menN siguientes en el Sistema de nformaci'n de AuditorBa se aplican a laas de esta lecci'nRa elloR

cutar 9SCSAU$@ asignar pos de autorizaci'n a los programas#ice esta ruta de menNRema de AuditorBa→ 4esarrollo 6sonalizaci'n→ Programas A3APCompruebe grupo de autorizaci'n paragramasema de AuditorBa→ 4esarrollo 6sonalizaci'n→ Programas A3AP→grama de An>lisis 0stadBsticousuarios y las autorizaciones de auditorBa

*os usuarios del sistema de informaci'n yautorizaciones'sito 6 esas de AuditorBa→ormaci'n 6 9esumen→ esaormaci'n→ A3AP 6 < 4iccionariotrar 'sito 6 esas de AuditorBa→ormaci'n 6 9esumen→ esaormaci'n→ 4ata 3ro+ser →a 3ro+ser (ue AU$59 4A4-C@0C[ rucciones dentro de los programas#cutar %arios informes dentro de estea para %er (uiOn tiene acceso a (uOetos de autorizaci'n y loores#ceso el c'digo de transacci'n S0?2, (ueutiliza para obser%ar los datos en una tabla#igo de acceso de transacci'n76S0?7&, (ue se utilizaner%ar los datos en una tabla#033 S/* /, Todos los derechos reser1ados

@



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950a elloRpos de autorizaci'n asignados programas#ice esta ruta de menNR'sito 6 esas de AuditorBa→orizaci'n para tablas→ *ista de losgrupos de autorizaci'na $44A$ tabla para %er (uO4ep'sito 6 esas de AuditorBa→pos de autorizaci'n se asignan a Autorizaci'n para tablas→as#Asignaci'n de Autorizaci'n

"rupos a $ablas 6 8istas





6ercicio /( :ransaction Controllingódigos1 ta$las , Programasaci'n del ejercicioR ! minutos

6etivos del e6erciciopuOs de completar este ejercicio, usted ser> capaz deRemostrar c'mo asegurar S $A3U 4 S es seguroemostrar la comprobaci'n de las declaraciones 809 *A AU$59 4A4-en A3APprogramas

emplo de <mpresasmbiOn (uiero hacer controles para comprobar (ue pueden acceder transacci'n crBticogos, tablas e informes#aR 4ebe realizar estos ejercicios como el usuario9P T T-AU4 $ (ue cre' anteriormente en el curso#erenciaR 0n algunos de estos ejercicios, %amos a utilizar informes para analizar blemas de autorizaci'n# $enga en cuenta (ue hay muchas maneras de siempreSAP para encontrar la misma informaci'n# *as soluciones a(uB proporcionan

manera de hacer la in%estigaci'n, no la Nnica forma de hacer la in%estigaci'n#os del sistemaemaR

enteRde usuarioR

ursontraseDaRablecer instruccionesRma (ue la clasema (ue la claseT T-AU4 $ usuario (ue cre' anteriormente en

ma (ue la claseea 'uiOn de los usuarios ^ "9P-T TQ se puede %er una de las mesas de n'mina,

\#

gir 4ep'sito 6 esas de AuditorBa→ Autorizaci'n para tablas→ Asignaci'ngrupos de autorizaci'n de los cuadros 6 8ista para determinar (uO autorizaci'n

po est> asociado a la tabla de n'mina, PA \#ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados




gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario Usuarios _ por autorizaciones de %alores para determinar

os los (ue pueden acceder a este grupo de autorizaci'n#ultarsiguientes usuarios pueden acceder a la tabla PA \R = A4 "9P-T T,A4 "9P-T T y T T SFSA4 "9P-#ea *erminar por (uO los usuarios = A4 "9P-T T, T T @9A4 "9P-, ySA4 "9P-T T puede mirar PA \ mesa# 4eterminar el riesgo globalnuestra configuraci'n actual#

erminar por (uO los usuarios = A4 "9P-T T, T T @9A4 "9P-,SA4 "9P-T T puede mirar PA \ mesa#gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario→ Usuarios de autorizaci'n de la transacci'n de inicio a

erminar (uO c'digos de transacci'n permitir el acceso a PA \ mesa#mo e%alNa el riesgo (ue tenemos actualmente con PA \ mesaWsted piensa (ue el riesgo es demasiado alto, Xcu>les son sus sugerencias para hacer frente ael riesgoW

ea /forma de in%estigaci'n S $A3U 4 S es comenzar con la pregunta, (ue

usuarios tienen acceso a S $A3U 4 S# 9esuma los pasos (ue usted puede tomar a descubrir todos los (ue tiene acceso a S $A3U 4 S y si (ue el acceson riesgo#






ongamos (ue se les pidi' (ue realizar la siguiente tareaR 4eterminar i%el de riesgo (ue tenemos actualmente en relaci'n con los usuarios (ue pueden %er s datos directamente en las tablas#merar los pasos (ue debe seguir para obtener una respuesta a la pregunta

eriormente#

car todos los papeles (ue conceden acceso a S $A3U 4 S#cubre (uO usuarios tienen cada funci'n eligiendo Usuario asignaci'n#a cada usuario, determinar (uiOn tiene acceso al c'digo de transacci'n S0?7,Z, S ! , S !?, y S0?2#

uO se puede concluir a partir de su in%estigaci'n hasta el momentoW

erminar (uO tablas "9P T T-AU4 $ puede acceder desde S0?7#ta informaci'n presenta un riesgoW

ea 4medida (ue el usuario de la energBa, crear un c'digo de transacci'n personalizado transacci'n enlacesgo S0?7 a la mesa de solicitud de compra 03A&#ntinNa en la p>gina siguiente03





u>l de los siguientes son los beneficios de la creaci'n de una transacci'n personalizadago para enlazar S0?7 para una tabla especBfica#e la respuesta correcta sQ#

no es necesario para permitir el acceso al c'digo de transacci'n S0?7Vra se puede permitir el acceso a su c'digo de transacci'n personalizado#

n el c'digo de transacci'n personalizado, puede buscar en cual(uier a#

n el c'digo de transacci'n personalizado, puede buscar s'lo en ela especificada en el c'digo de transacci'n#igos personalizados de transacci'n pueden ser creados f>cilmente, sinesidad de programaci'n#

medida (ue el usuario de la energBa A4 ; -T T, crear un c'digo de transacci'n personalizadombrado8 # # 5IE9E)AN. Utilice la siguiente informaci'n para crear sugo de transacci'n personalizadoRa de menNs nstrumentos→ A3AP /or bench → 4esarrollo→ 5tras herramientas$ransaccionesnsacci'n con par>metrosnsacci'nR"E!:. r a la pantalla inicial#talla de campoR 4A$A395/S0-$A3*0&A 0 debe tener un %alor de

AN.

mo A4 ; -T T, ejecutar el c'digo de transacci'n nue%a#rre la sesi'n como A4 ; -T T# nicie sesi'n como "9P T T-AU4 $#ea 5a el acceso de los usuarios ^ "9P-T TQ para tener S P95"9A # SiP95"9A es segura, Xsignifica (ue todos los programas A3AP todouroW

gir *os usuarios y las autorizaciones de auditorBa→ nformaci'n del usuario del sistema y

autorizaciones→ Usuario→ Usuarios por autorizaciones para determinar (uiOne sus usuarios tiene acceso a S P95"9A #ea ?a a %er si P5409 809-declaraciones est>n dentro de programas A3APformes#

gir Sistema de AuditorBa→ 4esarrollo 6 Personalizaci'n→ Programas A3APPrograma de An>lisis 0stadBstico para encontrar %erificaci'n autoridad declaraciones engramas#ntinNa en la p>gina siguiente





mpruebe tres programasR 9SUS92 seguridad informeQ, 9@PP2 * @9 rmeQ, 9=SUSA = informeQ#ultared debe %er el informe de seguridad e informe de @9 tienen autoridad de %erificaci'nlaraciones# &o hay declaraciones de %erificaci'n autoridad en el informe de = #033 S/* /, Todos los derechos reser1ados




olución /( Códigos de Control de la -peración1esas , Programasea 'uiOn de los usuarios ^ "9P-T TQ se puede %er una de las mesas de n'mina,

\#

gir 4ep'sito 6 esas de AuditorBa→ Autorizaci'n para tablas→ Asignaci'ngrupos de autorizaci'n de los cuadros 6 8ista para determinar (uO autorizaci'npo est> asociado a la tabla de n'mina, PA \#

gir 4ep'sito 6 esas de AuditorBa→ Autorizaci'n para tablas→gnaci'n de grupos de autorizaci'n de los cuadros 6 8ista#gir Posici'n en la parte inferior de la pantalla#rar PA en la &ombre de la tabla campo#ed debe %er el grupo de autorizaci'n es PA#gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario Usuarios _ por autorizaciones de %alores para determinar

os los (ue pueden acceder a este grupo de autorizaci'n#

gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'nutorizaciones→ Usuarios _ Usuarios por las autorizaciones de los %alores#

# @aga clic en el $odas las selecciones iconoel >rea de la pantalla con la eti(ueta Selecci'n de %alores, entrar A)U DI" en la 5bjeto de autorizaci'n campo#gir *os %alores de entrada 5 simplemente pulse la tecla 0&$09 en suadoQ#rar Pe/s*l +/*+ en la Autorizaci'n de grupo campo#rar 4 GRP-# # en la Usuario campo#cute el informe seleccionando Programa→ 0jecutar#ultarsiguientes usuarios pueden acceder a la tabla PA \R = A4 "9P-T T,A4 "9P-T T y T T SFSA4 "9P-#ea *erminar por (uO los usuarios = A4 "9P-T T, T T @9A4 "9P-, ySA4 "9P-T T puede mirar PA \ mesa# 4eterminar el riesgo globalnuestra configuraci'n actual#ntinNa en la p>gina siguiente





erminar por (uO los usuarios = A4 "9P-T T, T T @9A4 "9P-,SA4 "9P-T T puede mirar PA \ mesa#

el paso anterior se ejecut' un informe (ue mostr' elarios con acceso al grupo de autorizaci'nPA. 0sa lista de usuariosa%Ba se debe mostrar en su caso# Si no es asB, ejecute el informe de nue%ol paso anteriorQ#a obtener informaci'n sobre por (uO los usuarios pueden acceder a PA \ mesa,ccione el nombre de usuario = A4 "9P-T T y haga clic en el 4etalles icono

# 8er> the4rill en (ue el usuario haga clic en el signo m>sfiles asignados al usuario#forar en cada uno de los roles, en busca de objeto de autorizaci'n$A3U 4 S#ed debe %er (ue S $A3U 4 S es en el papel

A4 ; T T "0&09 C# $ambiOn debe comprobar (ue el usuario tiene%idad = y ^ en el Autorizaci'n de grupo campo# Se puede %er mediante la perforaci'n en el perfil, el objeto de autorizaci'n, autorizaci'n#Qo desea, repita este mismo proceso para los usuariosA4 "9P-T T y T T SFSA4 "9P-#gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario→ Usuarios de autorizaci'n de la transacci'n de inicio a

erminar (uO c'digos de transacci'n permitir el acceso a PA \ mesa#

gir *os usuarios y las autorizaciones de auditorBa→ nformaci'n del sistemauarios y Autorizaciones→ Usuario→ Usuarios por $ransacci'n nicioorizaci'n#ga clic en el $odas las selecciones icono#rar 4 GRP-# # en la Usuario campo#ga clic en el Selecciones mNltiples icono#rar GRP # # 4 como otro 4 de usuario (ue incluya en su bNs(uedaerios#

&otaR 0sto tambiOn debe incluir su usuario auditorBa"9P T T-AU4 $Q en los resultados de bNs(ueda#

rar "E!: en la C'digo de transacci'n campo#cute el informe pre%io a%iso y (uiOn tiene acceso a S0?7#cute de nue%o el informe para los c'digos de transacci'n (ueermiten obser%ar los datos en una tablaR S0?7, S0?Z, S0?2, S ! ,!?#

ed debe notar (ue el usuario "9P T T-AU4 $ es el (uee acceso a los c'digos de operaciones basadas en tablas#






mo e%alNa el riesgo (ue tenemos actualmente con PA \ mesaWsted piensa (ue el riesgo es demasiado alto, Xcu>les son sus sugerencias para hacer frente ael riesgoW

puestaR 4iferentes puntos de %ista sobre c'mo acceder a los riesgosR

iesgo es demasiado alto0l usuario financiera y usuario del sistema no debe tener accesoa S $A3U 4 S con un asterisco en la Autorizaci'n de grupoampo#usuario financiera usuario y el sistema no debe tener ningNnl acceso a los S $A3U 4 S#

usuario de recursos humanos debe ser e%aluado para %er si Ol o ella realmentenecesita tener acceso al %alorPe/s*l +/*+ para la Autorizaci'n de grupoampo#

iesgo es aceptable

A pesar de (ue el usuario financiera, el usuario del sistema, y humanoslos usuarios tienen acceso a recursos S $A3U 4 S con unasterisco en la Autorizaci'n de grupo campo, (ue est> bien#

*os usuarios financiera del sistema, o de los recursos humanos no tienenel acceso a cual(uiera de los c'digos de transacci'n (ue le permitenobser%ar los datos en una tabla S0?7, S0?Z, S ! , S !?, S0??, S0?2Q#Si cual(uiera de estos usuarios es en una transacci'n donde puedendoble clic o perfore los datos de la tabla PA \, es decir,3ien por(ue somos una tienda m>s pe(ueDa, con muchos deberes paraun usuario# &uestro usuario financiera es responsable de c'mo n'minaafecta nuestro presupuesto# *os recursos usuario humano %ecesnecesita PA \ datos desde otra transacci'n de recursos humanos#

y muchas maneras para e%aluar el riesgo# $odas las decisiones deben apoyar a empresa las polBticas de seguridad y alinearse con el de la corporaci'naluaci'n de los ni%eles de riesgo aceptables#ea /forma de in%estigaci'n S $A3U 4 S es comenzar con la pregunta, (ue

usuarios tienen acceso a S $A3U 4 S# 9esuma los pasos (ue usted puede tomar a descubrir todos los (ue tiene acceso a S $A3U 4 S y si (ue el acceson riesgo#ntinNa en la p>gina siguiente





ongamos (ue se les pidi' (ue realizar la siguiente tareaR 4eterminar i%el de riesgo (ue tenemos actualmente en relaci'n con los usuarios (ue pueden %er s datos directamente en las tablas#merar los pasos (ue debe seguir para obtener una respuesta a la pregunta

eriormente#puestaR

ermine (uO roles permitir el acceso a S $A3U 4 Sermine (uO usuarios tienen acceso a las funciones (ue incluyen$A3U 4 Serminar cu>les de estos usuarios tambiOn tienen acceso a la transacci'ngos (ue permiten el acceso directo S0?2, S0?7, S0?Z, S ! , S !?Qa los usuarios (ue tienen S $A3U 4 S en combinaci'n con la tablasacciones de acceso, determine (uO tablas (ue el usuario puede tener acceso#

gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'nutorizaciones→ 9oles → 9oles de 5bjeto de autorizaci'n#gir 0ditar→ $odas las selecciones#rar T ADM23 # # 4 y GRP # # 4 en la Papel campo# 0ntrar A)U DI" en la 5bjeto campo#

erBa %er dos funcionesR $ A4 ; T T "0&09 C yT T SFS$0 AU4 $59#ga clic en el Usuario asignaci'n icono para cada funci'n para %er (uO usuariosden acceder a (uO rol#erBa %er lo siguienteRel

A4 ; T T "0&09 Cuario asignadoA4 "9P-T TVA4 "9P-T TV

SA4 "9P-T TT T-AU4 $

car todos los papeles (ue conceden acceso a S $A3U 4 S#

cubre (uO usuarios tienen cada funci'n eligiendo Usuario asignaci'n#

T T SFS$0 AU4 $59 ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados




a cada usuario, determinar (uiOn tiene acceso al c'digo de transacci'n S0?7,Z, S ! , S !?, y S0?2#

ed podrBa utilizar %arios informes# Por ahora elegir *os usuarios y losautorizaciones de AuditorBa→ *os usuarios del sistema de informaci'n y autorizaciones

Usuario→ *os usuarios de 8alores autorizaci'n## @aga clic en el $odas las selecciones icono

rar 4 GRP-# # en la Usuario campo#rar " T$%DE en la 5bjeto de autorizaci'n campo#

gir 8alores de entrada#rar "E!: o "E! o "M= en la Acti%idad campo#cute el informe, %er> (ue nadie tiene acceso#mbie el Usuario campo ahora aGRP # # 4; "9P T T-auditorBa debe ser Nnico usuario con cual(uiera de estos c'digos de transacci'n#ita el informe, las pruebas de otros c'digos de transacci'n S !?,2Q#esea conocer toda la transacci'n codigos T T "9P-AU4 $de acceder, utilizar el informe a disposici'n por la elecci'n de *os usuarios y losautorizaciones de AuditorBa→ *os usuarios del sistema de informaci'n y autorizaciones

$ransacciones $ransacciones _ 0jecutable para los Usuarios#

uO se puede concluir a partir de su in%estigaci'n hasta el momentoWpuestaR 4e los usuarios (ue tienen acceso a S $A3U 4 S, s'lo

"9P T T-AU4 $Q tiene acceso a la transacci'n S0?7# Usted necesitaerminar e)actamente (uO tablas "9P T T-AU4 $ puede acceder en S0?7#ntinNa en la p>gina siguiente





erminar (uO tablas "9P T T-AU4 $ puede acceder desde S0?7#

y muchas maneras de in%estigar esto# A(uB usted debe comenzar conmismo informe (ue utiliz' anteriormente# 0legir Usuarios y AutorizacionesditorBa→ *os usuarios del sistema de informaci'n y autorizaciones→ 9oles →es de 5bjeto de autorizaci'n#gir 0ditar→ $odas las selecciones#el >rea Selecci'n de acuerdo a las asignaciones de los usuarios, seleccionar con el usuariognaci'n de e introduzcaGRP # #-AUDIT en la Usuario campo#

rar " TA)U DI" en la 5bjeto campo#cute el informe seleccionando Programa→ 0jecutar#tacar el papel y elegir Perfil asignaci'n#gir ostrar detallesforar en el perfil

buscar S $A3U 4 S# Perforar

Q, 0n la authorizations#into el objeto de autorizaci'n car los %alores tanto de la Acti%idad AC$8$Q y el campoorizaci'n "roup 4 C309C*SQ campo#ed debe %er el acceso a la" 4 en la Autorizaci'n de grupoC309C*SQ campo#

ora tiene (ue encontrar (uO tablas "9P T T-AU4 $ puede %er concceso a los S ^#gir 4ep'sito 6 esas de AuditorBa→ nformaci'n 6 9esumen→ esaormaci'n→ 4ata 3ro+ser → 4ata 3ro+ser# 0sto le lle%ar> adigo de transacci'n S0?7#

ntrarTDDAT en la &ombre de la tabla campo# Pulse la tecla 0&$09 e introduzca4 en la CClass campo#@aga clic en &Nmero de entradasV esto le dir> cu>ntas mesas songada a" 4 grupos de autorizaci'n#0s posible (ue %ea m>s de # mesas#

ora usted puede elegir 0jecutar %er las tablas#

ta informaci'n presenta un riesgoWpuestaR *a respuesta a esta pregunta es similar a la respuesta de muchosguntas de SAP, EdependeE#pregunta se refiere a los datos (ue un auditor necesita %er# 0s" 4 demasiadoplia gama de mesas para %erW 0l %alor" 4 se proporciona en la

P CA AU4 $59 SFS$0 4 SP*AF# Probablemente est> bien para elitor de tener pantalla amplia, pero ser> hasta usted para decidir sicceso es apropiado o no#ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950ea 4

medida (ue el usuario de la energBa, crear un c'digo de transacci'n personalizado transacci'n enlacesgo S0?7 a la mesa de solicitud de compra 03A&#

u>l de los siguientes son los beneficios de la creaci'n de una transacci'n personalizadago para enlazar S0?7 para una tabla especBfica#puestaR A, C, 4aci'n de c'digos personalizados de transacci'n para acceder mesa aumenta la seguridad

minando la necesidad de conceder S0?7 c'digo de transacci'n#

medida (ue el usuario de la energBa A4 ; -T T, crear un c'digo de transacci'n personalizadombrado8 # # 5IE9E)AN. Utilice la siguiente informaci'n para crear sugo de transacci'n personalizadoRa de menNs nstrumentos→ A3AP /or bench → 4esarrollo→ 5tras herramientas$ransaccionesnsacci'n con par>metrosnsacci'nR"E!:. r a la pantalla inicial#talla de campoR 4A$A395/S0-$A3*0&A 0 debe tener un %alor de

AN.

de el menN est>ndar de SAP, seleccione nstrumentos→ A3AP /or bench4esarrollo→ 5tras herramientas→ $ransacciones#

rar 8 # # 5IE9E)AN en la C'digo de transacci'n campo y elijaar#roduzca la descripci'n5e, l+ sol*?*tud de ?omp,+

@l+ p+,+ el ,upo # # en la $e)to bre%e campo#eccionar $ransacci'n con par>metros transacci'n de par>metrosQ#roduzca el te)to (ue desee en el $ransacci'n te)to campo#rar "E!: en la $ransacci'n campo#eccionar Saltar pantalla inicial#rde el c'digo de transacci'n nue%a# Una %ez (ue elija Ahorrar se (uiererece un cuadro de di>logo# Seleccionar 5bjeto local#a parte inferior de la pantalla, %er> 8alores por defecto - &ombre

mpo de pantalla - %alor# Seleccione la &ombre del campo de pantalla, haga clic en =< ygirDATA)R%9"E-TA)'ENAME.

rar E)AN en la 8alor campo#rde el c'digo de transacci'n nue%a, seleccione 5bjeto *ocal#rar B N8 # # 5IE9E)AN en la lBnea de comandos#ed se dar> cuenta (ue esto te lle%a directamente al c'digo de transacci'n S0?7n la tabla de %isualizaci'n 03A&#gir 0jecutar para %er los datos del cuadro 03A&#ntinNa en la p>gina siguientemo A4 ; -T T, ejecutar el c'digo de transacci'n nue%a#





rre la sesi'n como A4 ; -T T# nicie sesi'n como "9P T T-AU4 $#

rre la sesi'n como A4 ; -T T# nicie sesi'n como "9P T T-AU4 $#ea 5a el acceso de los usuarios ^ "9P-T TQ para tener S P95"9A # SiP95"9A es segura, Xsignifica (ue todos los programas A3AP todouroW

gir *os usuarios y las autorizaciones de auditorBa→ nformaci'n del usuario del sistema y

autorizaciones→ Usuario→ Usuarios por autorizaciones para determinar (uiOne sus usuarios tiene acceso a S P95"9A #

# @aga clic en el $odas las selecciones iconorar 4 GRP-# # en la Usuario campo, introducir" PR%GRAMen laeto de autorizaci'n campo#cute el informe# 0%aluar los resultados por entrar en los detallespara cada usuario#dependientemente de la seguridad de los S P95"9A , usted toda%Ba deseaomendamos a los clientes %incular informes personalizados y programas para

gos personalizados de transacci'n para la seguridad adicional#ea ?a a %er si P5409 809-declaraciones est>n dentro de programas A3APformes#

gir Sistema de AuditorBa→ 4esarrollo 6 Personalizaci'n→ Programas A3APPrograma de An>lisis 0stadBstico para encontrar %erificaci'n autoridad declaraciones engramas#ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950mpruebe tres programasR 9SUS92 seguridad informeQ, 9@PP2 * @9 rmeQ, 9=SUSA = informeQ#

gir Sistema de AuditorBa→ 4esarrollo 6 Personalizaci'n→ A3APgramas→ Programa de An>lisis 0stadBstico#eccione la nforme campo e introduzcaR"U"R .cute el informe, %er> (ue un AU$59 4A4-C@0C[ laraci'n est> incluida en el programa#

a profundizar en el programa, haga doble clic en el$59 4A4-C@0C[ comunicado#

ita el paso anterior para 9@PP2 * @9 informeQ yUSA = informeQ#ultared debe %er el informe de seguridad e informe de recursos humanos tienenrificaci'n autoridad declaraciones# &o hay autoridad de %erificaci'nlaraciones en el informe = #




M950ión( Control de acceso a los códigos de transacción1 ta$las , Programassumen de la lecciónora deberBa ser capaz deRescribir el %alor de la seguridad el c'digo de transacci'nas recomendaciones delineadas para asegurar la ejecuci'n del programa)plicar los objetos de autorizaci'n (ue protejan a los c'digos de transacci'n,ablas y ejecuci'n de programasemostrar el uso de las herramientas SAP para asignar grupos de tablas y el programalas tablas no protegidos

escribir c'mo el campo de grupo de autorizaci'n se utiliza en muchos SAPreas de aplicaci'n

ormación relacionada

a SAPR !!\?ZZ - comprobaci'n de autorizaci'n con programas en ejecuci'na SAPR ?!2 2 - Aspectos de seguridad en la programaci'n A3APa SAPR 2 !< - comprobaci'n de autorizaci'n

nceptos de autorizaci'n en A4 ;<%ice#sap#com 6 seguridad033 S/* /, Todos los derechos reser1ados




cción( &so de los registros de Supervisión de la Aplicaciónaci'n de la claseR < minutoss;ue6o de la lecciónesta lecci'n %amos a discutir los di%ersos registros (ue se pueden utilizar para controlar plicaci'n# uchos de estos registros no se pueden utilizar especBficamente por elitor, pero desea asegurarse de (ue alguien pueda utilizar los di%ersos registros#


ntificar los registros disponibles en un sistema SAPcriba c'mo se utilizan los registrosntificar (uiOn debe super%isar cada registro

a unidad describe los registros (ue e)isten en un sistema SAP# Para ser capaz de utilizar elstros, es necesario comprender el >rea de aplicaci'n cada registro se relaciona# *aestudiantes no necesariamente har> uso de todos los registros, s'lo (ueremos (ue sepan

ncos principales (ue est>n disponibles#emplo de <mpresaso largo de los sistemas SAP, muchos registros se escriben, (ue hay (ue tener en cuentastros (ue pueden ayudarle en su objeti%o de garantizar el acceso est> adecuadamentecedida#

Plan de tra$a6o para esta leccióna lecci'n e)plica lo (ue usted debe buscar cuando se realiza un sistema deitorBaR

P registros (ue correspondan a su aplicaci'nmo estos registros pueden ser utilizados para apoyar los controles de auditorBa y controlminos de men en el Sistema de In!ormación de Auditor)aas las sendas de menN utilizados en el Sistema de nformaci'n de AuditorBa A SQ se enumerannal de esta lecci'n# 8amos a utilizar las rutas de los menNs siguientes en A S paralecci'nR




M950ión( &so de los registros de Supervisión de la Aplicación

ema de AuditorBa→ Configuraci'n del sistema→ Sistema 5perati%o→ ostrar P 4irectoriosema de AuditorBa→ SAP System "roup→ nstrumentos→ ###ema de AuditorBa→ 9egistros del sistema y muestra el estado→ Aplicaci'n 9egistroRtrar registros'sito 6 esas de AuditorBa→ "rabaciones de mesa→ ###'sito 6 esas de AuditorBa→ Cambiar 4ocumentos→ ###todos los registros (ue se discuten en esta unidad se mostrar>n en A S# uchos de losstros se discute no puede ser utilizado especBficamente para una auditorBa, sino (ue debe ser uimiento diario como parte de la aplicaci'n#m$ios <l control de los registros de <"amenemas SAP rastrear otras acti%idades especBficas en %arios registros# Se discute lapuOs de los registros especBficos en esta lecci'nR

icitud de registroistrar la ejecuci'n del flujo de trabajocio de sesi'n utilizando documentos de modificaci'n

mbios Anotaci'n de datos de la tablambios de registro hecha usando la correcci'n y el sistema de transportembios en el registro realizados a usuario e informaci'n de autorizaci'ncauci'nR Un usuario con la programaci'n o la depuraci'n de las autorizacionesden e%adir estos registros# &o asigne estas autorizaciones en suema de producci'nY Con objeto de autorizaci'n S 4080*5PQ#a cada secci'n a continuaci'n %amos a discutir el registro y hay una demostraci'na el registro# 0l papel del auditor tambiOn ser>n discutidos en cada secci'nntinuaci'n# *os auditores pueden no tener los conocimientos necesarios para comprender cada registro,

o es necesario conocer el prop'sito de cada registro para (ue puedan asegurarse de (ue alguien> monitoreando los registros# $odas las manifestaciones son opcionalesR &ingunos se utilizan para fines de auditorBa especBficos, ninguno se utilizan m>s adelante en el curso#licitud de registroolicitud de registro incluye mensajes de solicitud, asB como el registro del sistemauye los mensajes del sistema# Se utiliza mucho en SAP AP5, el SC de SAP

ministrador de 0%entos y Administraci'n de almacenes# 0l rastro registro de aplicaci'nentos y tareas, y los informes sobre su acti%idad por ejemplo, la transferencia de033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950os de SAP 9 6 ! para SAP AP5Q# 0l registro de la aplicaci'n se utiliza para rastrear inici' la transferencia, cuando la transferencia se hizo, y fue lo (uesferidos# Se muestra un mensaje de error detallado de las colas con errores#esarrollador de aplicaciones o un e)perto (ue tiene el conocimiento para reaccionar antemensajes y analizar los datos de negocio utiliza el registro de aplicaci'n#>lisis de la aplicaci'n de registro se realiza en S*"? transacci'n#icaci'n de registro registra el progreso de la ejecuci'n de una aplicaci'nlo (ue se puede reconstruir m>s tarde si es necesario# Considerando (ue el sistemastrar los e%entos de los registros del sistema, puede utilizar el registro de aplicaci'n para grabar

entos especBficos de la aplicaci'n# Utilizar transacci'n S*" para definir entradas parapropias aplicaciones en el registro de aplicaci'n# Utilizar transacci'n S*"? alizar el registro de aplicaci'n#egistro de aplicaci'n es una estructura de tabla (ue consta de %arias tablas#solicitudes escriben sus entradas a estas tablas utilizando la funci'n SAPulos# 0stos m'dulos se ajustan al concepto de autorizaci'n de SAP#Qa entender el registro de aplicaci'n, primero tiene (ue entender lacaci'n de procesamiento de datos (ue maneja en el registro#a obtener m>s informaci'n, consulte la documentaci'n de biblioteca SAP en SAPioteca→ SAP /eb Application Ser%er→ A3AP /or bench → 3C 0)tendedicaciones de las funciones de biblioteca→ Crear registro de aplicaci'n#aR $roncos %iejos de aplicaci'n se pueden eliminar en S*"2 transacci'n#

uO hace el registro de la aplicaci'n significa para usted, el auditor del sistemaW *astro de aplicaci'n contiene mensajes especBficos de una aplicaci'n, si no son

e)perto en la aplicaci'n, la comprensi'n de los mensajes indi%iduales puedendifBcil# Sin embargo, puede asegurarse de (ue alguien en la aplicaci'n

> monitoreando los mensajes y responder a ellas en un apropiadomoda#mostración( Demostración de registros de aplicaciónpósitotrar el registro de la aplicaci'nos del sistemaemaR

enteRde usuarioRntraseDaRma (ue la clasema (ue la claseT T-AU4 $

ma (ue la clase





ablecer instruccionesR&o hay ninguna configuraci'n especBfica para esta demostraci'nVembargo, es posible (ue desee encontrar algo especBfico en el registro (uetarBa mostrar la clase#Como "9P T T-AU4 $, ejecutar transacciones S*"?#

as las opciones se pueden seleccionar, de estancia con esas opciones y ejecutar# Sid no recibe ningNn dato, puede (ue tenga (ue ajustar la fecha de %uelta#

mine el registro, obser%e los mensajes acerca de los materiales# *o har>sbablemente %er entradas %erdes y amarillas# 0l amarillo es una ad%ertenciaRed puede obtener m>s informaci'n al profundizar en la entrada y luegole clic# Con ello se abre mensajes en la parte inferior de latalla#

Dala (ue el papel del auditor es s'lo para asegurarse de (ue alguien en lacitud es el seguimiento de estos mensajes, los mensajes no significar>cho (ue el auditor del sistema#

$ lo= Registrar la e6ecución deeb=lo+ registro 5 registro de flujo de trabajoQ incluye todas las acti%idades (ue tienenrodujo debido a los flujos de trabajo en ejecuci'n# Se incluye cada paso en lao de trabajo, (ue ha ejecutado el paso, la acci'n (ue tu%o lugar y la horaco en el (ue tu%o lugar la ejecuci'n#

administrador de flujo de trabajo (ue es responsable para el flujo de trabajo seizar el registro de /eb=lo+# Cada usuario (ue participa en el /eb=lo+ puedebiOn consultar los registros en el &egocios /or place Seleccionando 5ficina→ar de $rabajoQ#n>lisis del registro de la aplicaci'n se realiza en las transacciones S/ , S/ 2 =901

?#ed puede utilizar el /eb=lo+ 0ngine 0n SAP 3usiness /or flo+Q para automatizar cesos de negocio# 0stos procesos pueden ser simple liberaci'n o aprobaci'ncedimientos o procesos de negocio m>s complejos, tales como la creaci'n de unestro de materiales y la coordinaci'n asociado de los departamentosolucrado# 0l motor de /eb=lo+ es particularmente adecuado para situaciones enlos procesos de trabajo (ue se ejecutar> a tra%Os de %arias %eces, o en situacionesel proceso de negocio re(uiere la participaci'n de muchos agentes ensecuencia especBfica#

mbiOn puede utilizar el motor de /eb=lo+ para responder a los errores y e)cepcionesotros procesos de negocio e)istentes# Usted puede iniciar un flujo de trabajo cuandoentos predefinidos ocurrir, por ejemplo, un e%ento puede ser acti%ado sires particulares se encuentran durante una comprobaci'n autom>tica#


@



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950P ofrece %arios flujos de trabajo (ue se asignan los procesos de negocio predefinidas#os flujos de trabajo no re(uieren de mucha configuraci'n#motor de /eb=lo+ utiliza las operaciones y funciones e)istentes de laP sistema y no cambia las funciones# Puede combinar laciones e)istentes del sistema SAP para formar nue%os procesos de negocio con

motor de /eb=lo+# 0l sistema de flujo de trabajo toma el control de lacesos de negocio#ecnologBa y las herramientas necesarias para automatizar el control y procesamiento

procesos entre aplicaciones est>n incluidas en el SAP 3usiness /or flo+ciones para incluir las funciones de registro y an>lisis# 0stas acti%idades sonncluidos en el registro de aplicaci'n#funciones de an>lisis de SAP 3usiness /or flo+ tambiOn est>n protegidos por la

P concepto de autorizaci'n#a obtener m>s informaci'n, consulte la documentaci'n de la biblioteca SAP en SAPioteca→ SAP /eb Application Ser%er→ "esti'n de 0mpresas _ /eb=lo+ine#

uO es el registro de /eb=lo+ significa para usted, el auditor del sistemaW 4esdespecti%a del auditor, usted (uerr> asegurarse de (ue alguien est> controlandoegistro de flujo de trabajo# $ambiOn puede ser (ue desee asegurarse de (ue no hay edados de trabajo (ue no han sido completadas# Para entender el registro,esita e)periencia de flujo de trabajo, pero se puede obser%ar c'mo muchos flujos de trabajo soncuci'n# AsegNrese de (ue alguien est> controlando el registro#mostración( Registros 7e$ lo=pósitobjeti%o de esta demostraci'n es mostrar c'mo se puede encontrar todoos de trabajo en un estado niciado#os del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioR"9P T T-AU4 $ntraseDaRmisma (ue la claseablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para estanifestaci'n#Como "9P T T-AU4 $, ejecutar c'digo de transacci'n S/ ?#

o $ipo seleccionar6.o mostrar> una lista de todos los flujos de trabajo 6 +ebflo+s#a 0stado campo, seleccionePA"%"7





o muestra todos los flujos de trabajo (ue se han iniciado pero no completado#

sted elige 0jecutar ahora, se le mostrar> todos los flujos de trabajo comenz', perose complet' hoy# 0s posible (ue necesite aumentar su fecha 6 horago#$area columna proporciona el nNmero del flujo de trabajoV la $area de te)toumnas proporciona una bre%e descripci'n del flujo de trabajo#gistro de documentos de modi!icacióna muchas aplicaciones en SAP, los cambios se registran a medida (ue ocurren# 0jemplosas solicitudes de registro de los cambios (ue incluyen logBstica, %entas y distribuci'n,

mpras y gesti'n de materiales#uarios (ue utilizan la aplicaci'n diaria puede re%isar los cambios en un cambioumentos de registro#umentos de modificaci'n se almacenan en %arias tablas# *a tabla de cabecera es

@49# Cada aplicaci'n tiene su propia transacci'n en opinar sobre el cambioumentos, por ejemplo, < los cambios materiales y 84 < para

mbios de los clientes# &ormalmente, la opci'n de menN ostrar los cambios#datos en un sistema SAP se cambian con frecuencia# A menudo es Ntil, o inclusoecesario, para ser capaz de rastrear los cambios realizados# Si los cambios se registran,uede encontrar en cual(uier momento, lo (ue se ha cambiado y cu>ndo y c'mo el

mbio fue realizado# 0sto a %eces puede hacer (ue el an>lisis de los errores m>s f>cil#a contabilidad financiera, por ejemplo, los documentos de cambio se utilizan para hacer ible auditorBa#documento de cambio de seguimiento de los cambios realizados en un objeto SAP# 0l documentorea independientemente de la base de datos de cambio real# *a cambiar uctura del documento consiste en el cambio de encabezado del documento, cambiar

mento de documento, nNmero de documento y el cambioRmbiar cabecera del documentoos datos de cabecera del cambio a un 4 de objeto en un objeto particular lase se almacena en la cabecera del documento cambio# 0l documento de cambioNmero se emite autom>ticamente#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950mbio de posici'n de documentol elemento documento de cambio contiene los %alores antiguos y nue%os de un campoara un cambio particular, y un indicador de cambio# *a bandera de cambio puedeos siguientes %aloresR

pdateQ - *os datos fueron cambiados# 0ntrada de registro para cada modificadosmpo (ue se ha marcado en el 4iccionario A3AP como Ecambio

umento pertinente EQnsertQs datos fueron insertados#mbiosR entrada de registro para el registro de la tabla generalnificada cambiosR niciar sesi'n entrada para cada campo de registro de la tablaeleteQ - 4atos ha sido eliminada log entrada para el registro de la tabla generalQ#

mbiar nNmero de documentol nNmero de documento se e)pide el cambio cuando el cambio se registra,s decir, cuando la cabecera del documento cambio es creado por la funci'n

m'dulo para la creaci'n de documentar el cambio grupo de funciones SC45Q#a %er los documentos de modificaci'n para un objeto, tambiOn utilizan la SC45 transacci'n#a obtener m>s informaci'n, consulte la documentaci'n de la biblioteca SAP en SAPioteca→ SAP /eb Application Ser%er→ A3AP /or bench → 3C 0)tendedicaciones de las funciones de biblioteca→ Cambie documentos#

uO documentos de modificaci'n significa para usted, el auditor del sistemaW Por(ueumentos de modificaci'n se utilizan tan fuertemente en un sistema SAP 9 6 !, (ue puedendarle con la depuraci'n de errores de autorizaci'n# 4ebido a (ue cada cambio esbado, usted puede comprobar (ue ha estado haciendo cambios a los datos#o puede ser crBtico en descubrir por (uO se hizo un cambio (ue tal %ezdeberBa haber hecho#de utilizar 4ep'sito 6 esas de AuditorBa→ Cambiar 4ocumentos→ ndicador de cambio deumentos para re%isar los cambios (ue se han producido#





cute los informes de nue%o a los cambios 3A&= y otras in%estigaciones (uean producido#m$ios Anotación de datos de ta$lan>lisis de los objetos registrados Personalizaci'n le permite contestar el

uientes preguntas acerca de personalizar los cambios de ajusteR

uiOn hizo el cambioW

uO ha cambiadoWu>ndo fue el cambioWregistros se analizaron por objeto, es decir, los cambios se pueden mostrar en su

sonalizaci'n de conte)to, no s'lo tOcnicamente a ni%el de tabla#mbio de los registros se pueden eliminar o archi%ar# Si usted los registros de archi%ado, debeantizar (ue el an>lisis incluye los registros archi%ados#cauci'nR Por moti%os de rendimiento, los datos de los cambios de producci'nse registrar>n#de acti%ar el registro de las tablas especBficas y utilizar un cambios en la tabla log aer%isar los cambios en los datos de la tabla# *os usuarios a%anzados (ue monitoreandatos modificados puede re%isar el registro de la tabla cambia# *os cambios en la tabla log

> disponible a tra%Os de transacci'n SCU!#izando el indicador de registro se puede definir si los cambios en los registros de datos

una tabla debe estar conectado# Si el registro est> acti%ado, cada cambio a unastro de datos e)istente con UP4A$0 o 40*0$0Q por parte del usuario o de la aplicaci'ngrama se graba en la base de datos en una tabla de registro 43$A3P9$Q#ecomendamos (ue acti%e el registro de los cambios en los datos de la tabla paraellas tablas (ue son crBticas o sensibles a las auditorBas# 4ebe e)plBcitamente%ar este registro#





ura /?( Registro de la ta$lagNrese de prestar atenci'n a la siguiente descripci'n de la tala mesa

>metros cuando se utiliza una tabla de registro de cambiosR

e iniciar el sistema SAP con el rec 6 cliente par>metro# 0sta>metro especifica si el sistema SAP registra los cambios en la tablaos de todos los clientes o s'lo a determinados clientes# 0l par>metro puede tener siguientes %aloresRB ?l*e/te C A'' registra todos los clientesB ?l*e/t C ... registra los clientes especificadosB ?l*e/te C %66 9esulta cerrar la sesi'nos ajustes tOcnicos uso transacci'n S0?!Q, ajuste el niciar los cambios de datosdera para a(uellas tablas (ue desea han registrado#cauci'nR 9egistro ralentiza los accesos (ue cambiar la mesa# 0n primer lugar,egistro debe ser escrito en la tabla de registro para cada cambio# 0n segundo lugar,

rios usuarios tener acceso a esta tabla de registro en paralelo# 0sto puede causar (uear las situaciones, incluso cuando los usuarios est>n trabajando con diferentesas de aplicaci'n#




dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950stas dos condiciones se cumplen, la base de datos registra los cambios en la tablaA3P9$ mesa# Ajuste del niciar los cambios de datos bandera s'lo no es suficiente parastrar cambios en la tabla, tambiOn se debe establecer el par>metro rec 6 clienteQ#aR Aun(ue SAP ofrece ajustes predefinidos, por lo generale (ue modificar para satisfacer sus propias necesidades# Utilice el3@ S$ informe para obtener una lista de las tablas (ue est>n actualmente

o para ser registrado# Utilice transacci'n S0?! para cambiar el *os datos de registrombios bandera para tablas de estos u otros#a obtener m>s informaci'n, consulte la documentaci'n de la biblioteca SAP en SAPioteca→ SAP /eb Application Ser%er→ A3AP /or bench → 3C A3AP

cionario→ Ajustes tOcnicos→ 9egistro# 8er tambiOn las notas SAP ?;?7 y!\\# &ota SAP ??2!\\ proporciona directrices sobre las tablas para iniciar la sesi'n deperspecti%a = #Q

uO es el registro en el listado de decir a usted, el auditor del sistemaW $abla especBficastro puede ser muy Ntil para usted durante una auditorBa# Si usted se preocupa por

alto perfil, tales como mesas, tablas de configuraci'n crBticos ", puede utilizar abla de registro para obtener una comprensi'n de c'mo la tabla se %a a cambiar iOnes son las personas (ue hacen los cambios#egistro puede tener un impacto significati%o en el rendimiento, sino (ue debe ser izado sobre una base como-necesaria#mostración( Registros de Cam$ios en datos de ta$lapósito

o demuestra c'mo utilizar los registros de cambios en los datos de la tabla#

os del sistemaemaRmismo como claseenteRmismo como clasede usuarioR"9P T T-AU4 $ntraseDaRmismo como claseablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para estanifestaci'n#Como "9P T T-AU4 $, elija 4ep'sito 6 esas de AuditorBa→ "rabaciones de mesa#0sta demostraci'n ser> a partir de los c'digos de transacci'n dentro de esta >rea del menN#

>metros del sistema - Comprueba la configuraci'n de grabaci'n 6 cliente#>lisis de la @istoria $abla - A(uB se puede %er todos los cambios (ue tienen

rrido#3 S/* /, Todos los derechos reser1ados03



M950ión( &so de los registros de Supervisión de la Aplicacióna probar esto desde el punto de %ista ", %aya a la " como A4 ; -T TQear una nue%a >rea de negocio# 0n la " elija 0mpresa estructura

4efinici'n → Contabilidad =inanciera→ 4efinir Jrea de &egocioQ#

erte una nue%a >rea de negocio, esta tabla $"S3 actualizaciones#T T-AU4 $ no tiene autorizaci'n para e%aluar este cambio,, como A4 ; -T T, ejecutar c'digo de transacci'n S A*9 \Z? ?227 - esto esdigo de transacci'n para 4ep'sito 6 esas de AuditorBa→ "rabaciones de mesa→

>lisis de la @istoria tabla#

a Personalizaci'n de objetos 6 $abla campo, introduzca5 TG").eccionar 0%aluaci'n paraPe,so/+l*F+?* / de [email protected] el informe#ed debe ser capaz de %er el >rea de negocio (ue ha aDadido y el hecho deeste registro fue creado recientemente#

Como "9P T T-AU4 $, ejecutar el c'digo de transacci'n misma# Sin embargo, para losa Personalizaci'n 5bjeto 6 tabla, entrarR6$DE". 0sta es la tabla (ue contiene=C destinos#Seleccionar 0%aluaci'n paraT+@l+s.

0jecutar puede (ue tenga (ue configurar su fecha hacia atr>sQ# Usted puede %er ambios en los destinos 9=C#033 S/* /, Todos los derechos reser1ados




mpro$ación de registro de la ta$lali2ara comprobar el registro de cambio de tabla, siga este procedimiento#cedimiento

gir nstrumentos→ A3AP /or bench → 4esarrollo→ A3AP 4ictionary#roduzca el nombre de la tabla cuyos registros de configuraci'n (ue desea comprobar#gir 8isualizar#gir "oto → Ajustes tOcnicos#ciorarse niciar los cambios de datos se selecciona#erenciaR $odas las tablas de personalizaci'n se graban autom>ticamente por

determinado#





tivación de registro de la ta$la

mience S0?2 transacci'n#roduzca el nombre de la tabla#gir Cambiar#

eccionar niciar cambios de datos#be las entradas#033 S/* /, Todos los derechos reser1ados

@



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950s cam$ios reali2ados en los datos de registro , autori2ación de usuariosa secci'n trata sobre los registros de los cambios realizados y autorizaci'n de usuariososRistros y autorizaci'n de usuarios registrar todos los cambios (ue se producen a los usuarios,orizaciones y perfiles# 0l administrador de seguridad super%isa estosstros#os los sistemas SAP cambios de registro realizadas por un usuario administrador# Como usuarios yroles se crean y mantienen, todos los cambios a los usuarios, autorizaciones yfiles se registran#registros pueden ser consultados por los usuarios en el sistema de informaci'n en el marco nstrumentos→

ministraci'n→ antenimiento por el usuario→ nformaci'n del sistema→ Cambiar umentos# *os registros tambiOn se pueden %er en el Sistema de nformaci'n de AuditorBa#a los usuarios pueden %er la creaci'n, eliminaci'n, blo(ueo y cambio de perfil#ura /@( Cam$io de revisar los registros para los usuariosa obtener m>s informaci'n, consulte la documentaci'n de la biblioteca SAP en SAPioteca→ SAP /eb Application Ser%er→ Seguridad→ Usuarios y funciones _ema de nformaciones#

uO registros de usuario de cambio significa para usted, el auditor del sistemaW *o har>sizar estos registros de cambio a menudo para detectar (uO usuarios han cambiado ylos roles han cambiado# 0stos registros de cambios son probablemente losccede con m>s frecuencia#


03



M950ión( &so de los registros de Supervisión de la Aplicaciónmostración( <n cuanto a registros de cam$ios de usuariosutori2acionespósito

o muestra c'mo %er registros de cambios para los usuarios#os del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioR"9P T T-AU4 $ntraseDaRmisma (ue la claseablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para estanifestaci'n#Como "9P T T-AU4 $, elija *os usuarios y las autorizaciones de auditorBa→

*os usuarios del sistema de informaci'n y autorizaciones→ Cambie documentos#

cutar algunos de los informes para demostrar los cambios a los usuarios,orizaciones y perfiles#gistro de RR%..% In!ormesso de un %alor de configuraci'n en la guBa de implementaci'n "Q, (uede definir los informes (ue desea registrar# Si se acti%a esta funci'n,rea un registro en la base de datos cada %ez (ue se inicia un informe# Usted

mbiOn puede especificar si este registro debe crearse s'lo en lBneaformes de antecedentes, o para ambos#egistro de @9 informe contiene los siguientes datosR

ormeulo del informe

uarioha en la (ue se inici' el informera en (ue se inici' el informepar>metros de informe y seleccionar opcionesde %isualizar estos datos mediante 9PUP95$4 informe y eliminarlo de la

e de datos con el informe 9PUP95$U#informes (ue se registran deben utilizar la base de datos l'gica P&P#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950a realizar el ajuste en la " para registrar los informes de recursos humanos, elija Personalejo → Administraci'n de Personal→ nstrumentos→ 9e%isi'n→ 9egistro de informesdBsticas 0sto tambiOn se puede acceder a tra%Os de la transacci'n SP95Q#ta de veri!icación para &so de los registros de Supervisión de la Aplicaciónuditor debe comprobar lo siguiente en los registros de SAPR

O al tanto de las >reas de aplicaci'n (ue se ejecutan y los registros (ueten para cada zona#gNrese de (ue alguien en el >rea de aplicaci'n es el seguimiento peri'dico de la

stros pertinentes#minos de men en Auditor)a del Sistema de In!ormacióncaminos de menN siguientes del Sistema de nformaci'n de AuditorBa se aplican a laas de esta lecci'nRa elloRlibros de registro localizadas en elsistema operati%o#ontrar un programa especBfico 6 table en un

mbiar petici'n#uentra las solicitudes de cambio relacionados con el usuarioos#uentra las solicitudes de cambio relacionados con laursos de datos humanos#

%estigaci'n de los datos (ue est>n actualmenteolucrados en solicitudes de cambio#%ise registro de aplicaci'n#

ice esta ruta de menNRema de AuditorBa→ Sistema

nfiguraci'n→ =uncionamientoema→ ostrar 4irectorios SAPema de AuditorBa→ SAP System "roupnstrumentos→ 3uscar objetos en

icitar 6 $areasema de AuditorBa→ SAP System "roupnstrumentos→ *as solicitudes con US9

lasema de AuditorBa→ SAP System "roupnstrumentos→ *as solicitudes con tablas PA

ema de AuditorBa→ SAP System "roupnstrumentos→ Analizar objetos en

icitudes 6 $areasema de AuditorBa→ 9egistros del sistema y

dicaciones de estado→ Aplicaci'n 9egistroRtrar registroscubra el %alor actual de rec 6 cliente 4ep'sito 6 esas de AuditorBa→ esa>metro necesario para el registro de la tabla# "rabaciones→ Par>metros del sistema




M950ión( &so de los registros de Supervisión de la Aplicacióna elloRice esta ruta de menNR

a registros de cambios (ue tienen4ep'sito 6 esas de AuditorBa→ esaducido por un objeto de personalizaci'n"rabaciones→ An>lisis de la $ablana tabla# &otaR Usted debe tener@istoria$A3U 4 S para esa tabla para poder a mostrar los registros de cambios#mbie los registros de financierosonalizaci'n de objetos# Usted debeer S $A3U 4 S para el ejercicio

as#mbie los registros de financierosonalizaci'n de objetos# Usted debeer S $A3U 4 S para el ejercicioas#

mbie los registros de financierosonalizaci'n de objetos# Usted debeer S $A3U 4 S para el ejercicioas#

mpruebe el registro de la tabla est> encendidoa una tabla especBfica#a documentos de modificaci'n para un

especBfico de datos#a documentos de modificaci'n en detallea un tipo especBfico de datos#'sito 6 esas de AuditorBa→

baciones de mesa→ Presentaci'n de informes sobrentabilidad =inanciera'sito 6 esas de AuditorBa→

baciones de mesa→ nformes paraados =inancieros'sito 6 esas de AuditorBa→ esa

baciones→ nforme sobre las =inanzas'sito 6 esas de AuditorBa→ esa

baciones→ esa $Ocnicanfiguraci'n'sito 6 esas de AuditorBa→ Cambiar umentos→ ndicador de cambio deumentos informaci'n generalQ'sito 6 esas de AuditorBa→ Cambiar umentos→ ndicador de cambio deumentos 4etalleQ033 S/* /, Todos los derechos reser1ados




6ercicio 4( &so de los registros de Seguimiento de laplicaciónaci'n del ejercicioR minutos

6etivos del e6erciciopuOs de completar este ejercicio, usted ser> capaz deR)plicar c'mo encontrar registros importantesemplo de <mpresas

mbiOn (uiero hacer controles para comprobar (ue pueden acceder transacci'n crBticogos, tablas e informes#aR 4ebe realizar estos ejercicios como el 4 de usuarioT T-AU4 $ (ue cre' anteriormente en el curso#os del sistemaemaR

enteRde usuarioRursontraseDaRablecer instruccionesRma (ue la clasema (ue la claseT T-AU4 $ usuario (ue cre' anteriormente en

ma (ue la claseea%ise las rutas de los menNs y c'digos de transacci'n (ue se pueden utilizar para mirar di%ersos registros#

%ise las rutas de menN y los c'digos de transacci'n (ue pueden ser utilizadosar los di%ersos registros# Utilice la tabla siguiente para re%isar el registro demenN de ruta#




dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950o de

plica-de registroN 9uta y

nsacci'nigo o nformeema de AuditorBa→istros del sistema y

dicaciones de estado→

icaci'n 9egistroRtrar registrossacci'n S*"?ema de AuditorBa

Sistemanfiguraci'n→o de trabajosacci'n S/'sito 6 $ablasditorBa→ Cambiar umentos _stra el cambioumentos

'n de conjuntoortar C4?p'sitoutiliza para depurar la aplicaci'nnsajes# 0n particular, en relaci'n con5, gesti'n de almacenes, yti'n de la cadena de e%entos#=lo+

utiliza para e)aminar (uOos de trabajo 6 +ebflo+s est>n ejecutandoe los usuarios participan en la

cuci'n del flujo de trabajo#utiliza para re%isar los cambios (ue tienenrrido y por (uO los usuarios#

mbiar u-ntos de registroa

mbios

'sito 6 $ablasditorBa→ esabaciones _>lisis de mesaoriasacci'n

UmbiOn puedear nformesinancial

ntabilidad,ormesinanciallaraciones, ysentaci'n de informes sobreanzasutiliza para indicar cambios en especBficoas (ue se han creado parastro# 0sta configuraci'n se debe hacer el diccionario de datos para el registro derrir#





M950ión( &so de los registros de Supervisión de la Aplicacióno de

nsporte

N 9uta ynsacci'nigo o nformeema de AuditorBa

Sistemanfiguraci'n→

ema 5perati%oPantalla SAPctoriosp'sito

Se utiliza para monitorizar los cambios se mo%i'desde el desarrollo hasta la producci'n#0l sistema operati%o tiene laregistros, para (ue pueda utilizar A*?? para mirar el sistema operati%o# Adem>s,los usuarios pueden utilizar S0 ; S0? y buscar en sus solicitudes de cambio# $ambiOn

saccionestienen rutas de menN para (ue usted pueda buscar

??, S0 ;, S0?objetos de peticiones para (ue pueda encontrar aR $ambiOn bus(ue programas crBticos y los cambios (ue

han sido transported#at Sistema de AuditorBaSAP Systempo → nstrumentos*as solicitudes con9 tablas ysolicitudes con el PAasQusuarios y losSe utiliza para obser%ar los cambios (ueautorizacionesSe han hecho a los 4 de usuario,

ditorBa→autorizaciones y perfiles#

ormaci'nusuarios del sistema yautorizaciones→

mbiar los documentosrme 9SUS9?

usuario y

ci'n


@




olución 4( &so de los registros de Seguimiento de laplicaciónea

%ise las rutas de los menNs y c'digos de transacci'n (ue se pueden utilizar para mirar di%ersos registros#

%ise las rutas de menN y los c'digos de transacci'n (ue pueden ser utilizadosar los di%ersos registros# Utilice la tabla siguiente para re%isar el registro demenN de ruta#

o deplica-de registroN 9uta y

nsacci'nigo o nformeema de AuditorBa→istros del sistema y

dicaciones de estado→icaci'n 9egistroRtrar registrossacci'n S*"?

=lo+ema de AuditorBa

Sistemanfiguraci'n→o de trabajosacci'n S/

mbiar u-ntos de registro'sito 6 $ablasditorBa→ Cambiar umentos _stra el cambioumentos'n de conjuntoortar C4?

utiliza para re%isar los cambios (ue tienenrrido y por (uO los usuarios#utiliza para e)aminar (uOos de trabajo 6 +ebflo+s est>n ejecutandoe los usuarios participan en la

cuci'n del flujo de trabajo#p'sitoutiliza para depurar la aplicaci'n

nsajes# 0n particular, en relaci'n con5, gesti'n de almacenes, yti'n de la cadena de e%entos#ntinNa en la p>gina siguiente




M950ión( &so de los registros de Supervisión de la Aplicacióno de

ambios

N 9uta ynsacci'nigo o nforme'sito 6 $ablasditorBa→ esa

baciones _>lisis de mesaoriasacci'n

UmbiOn puedear nformesinancial

ntabilidad,ormesinanciallaraciones, ysentaci'n de informes sobreanzasp'sitoutiliza para indicar cambios en especBficoas (ue se han creado parastro# 0sta configuraci'n se debe hacer

el diccionario de datos para el registro derrir#




dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950o de

nsporte

N 9uta ynsacci'nigo o nformeema de AuditorBa

Sistemanfiguraci'n→

ema 5perati%oPantalla SAPctoriosp'sito

Se utiliza para monitorizar los cambios se mo%i'desde el desarrollo hasta la producci'n#0l sistema operati%o tiene laregistros, para (ue pueda utilizar A*?? para mirar el sistema operati%o# Adem>s,los usuarios pueden utilizar S0 ; S0? y buscar en sus solicitudes de cambio# $ambiOn

saccionestienen rutas de menN para (ue usted pueda buscar

??, S0 ;, S0?objetos de peticiones para (ue pueda encontrar aR $ambiOn bus(ue programas crBticos y los cambios (ue

han sido transported#at Sistema de AuditorBaSAP Systempo → nstrumentos*as solicitudes con9 tablas ysolicitudes con el PAasQusuarios y losSe utiliza para obser%ar los cambios (ueautorizacionesSe han hecho a los 4 de usuario,

ditorBa→autorizaciones y perfiles#

ormaci'nusuarios del sistema yautorizaciones→

mbiar los documentosrme 9SUS9?

usuario y

ci'n

a cada ruta de menN arriba, mira el informe y determinar debe ser la persona responsable del seguimiento del presente informe#




M950ión( &so de los registros de Supervisión de la Aplicaciónsumen de la lecciónora deberBa ser capaz deRdentificar los registros disponibles en un sistema SAPescribir c'mo se utilizan los registrosdentificar (uiOn debe super%isar cada registroormación relacionada

P &ote ?;?7 - cambios de registro en SAP 9 6 !P &ote ??2!\\ - *as tablas (ue est>n sujetos a registro033 S/* /, Todos los derechos reser1ados




cción( Cómo personali2ar las herramientas de mantenimiento de roles enm,SAP Solutions'/*

aci'n de la claseR < minutoss;ue6o de la leccióna lecci'n trata de las herramientas del administrador de seguridad puede utilizar para reducir uerzo (ue se re(uiere para el mantenimiento de papel# 8amos a discutir c'mo configurar elel herramienta de mantenimiento P=C"Q# Configuraci'n de la herramienta de mantenimiento de rolrrar tiempo al administrador de seguridad y hacer los papeles m>s f>cil de manejar antener#


ntificar el objeti%o de personalizar el mantenimiento defecto papelorescribe c'mo personalizar los %alores por defecto de mantenimiento de rol

mostrar tOcnicas para identificar cambios a la funci'nores por defecto de mantenimiento

a unidad discute las formas diferentes de controlar# 0s importante (ue un auditor a entender el %alor de SU2< SU2 y# 0s importante (ue seer c'mo SU2< Se ha actualizado#tipos de cambios a hacer en SU2< son muy %ariados y se diferencian sobre la base depini'n del cliente y su asesor# 0n esta unidad s'lo (ueremosporcionar algunas pautas generales#emplo de <mpresasel y mantenimiento de soluciones mySAP autorizaci'n en utilizar los %alores por defecto

%iado por SAP# 0stos %alores afectan a c'mo la herramienta de mantenimiento de papelsacci'n P=C" opera asB como c'mo la seguridad se comprueba en tiempo de ejecuci'n#ante la creaci'n de roles, se dio cuenta de (ue los %alores por defecto incluido en SAPsiempre responden a sus necesidades# Usted se encuentra haciendo muchos cambioss autorizaciones (ue se generan por la herramienta de mantenimiento de papel=C" transacci'nQ#determinado (ue los %alores por defecto de SAP no cumplen con suesidades de la empresa y le gustarBa cambiar los %alores por defecto parasfacer mejor sus necesidades#




M950ión( Cómo personali2ar las herramientas de mantenimiento de roles en las soluciones de m,SAPestro Plan de tra$a6o para esta lecciónealizar una auditorBa del sistema, usted debe a%eriguar si la transacci'n

C" adecuadamente refuerza los controles#minos de men en el Sistema de In!ormación de Auditor)aas las sendas de menN utilizados en el Sistema de nformaci'n de AuditorBa A SQ se enumerannal de esta lecci'n# 8amos a utilizar las rutas de los menNs siguientes en A S paralecci'nR

usuarios y las autorizaciones de auditorBa→ =unci'n Administraci'n→ ###'sito 6 esas de AuditorBa→ $abla de informaci'n→ 4atos de na%egador→ 4atos%egador ómo la .erramienta de Mantenimiento Papel Crea autori2aciones

ando se crean los roles y las autorizaciones se generan, el SAPema lee las tablas para saber (uO objetos %an con la autorizaci'n (uegos de transacci'n# 0sas tablas se puede acceder a tra%Os de transacci'n SU2<#em>s, SU2< proporciona informaci'n (ue sir%e como %alores por defectoa las autorizaciones#ura /3( .erramienta de Mantenimiento Papel Creación de autori2acionesnsacci'n SU2< se lee para determinar (uO objetos de autorizaci'n yores de autorizaci'n son re(ueridas para cada elemento del menN# 0l m>s

2< es preciso, los %alores m>s %endr>n en completarse# *os %alores m>sse establecen para completar de forma predeterminada, el mantenimiento se re(uiere menos por dministrador de seguridad#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950ura /9( FCómo se utili2a S&*4er ;ue P CG para usted con S&*4nsacci'n SU2< puede ofrecer gran ayuda para un administrador de seguridadue puede reducir el mantenimiento general# 0l administrador de seguridad puedeizar transacci'n SU2< para asegurar los objetos de autorizaci'n correcta y elores correctos se utiliza por defecto#

ando se genera un papel, muchas de las autorizaciones se mostrar>mo amarillo por defecto# Amarillo significa (ue hay muchas lagunas en laorizaciones y algNn trabajo manual se debe hacer para llenar elores restantes#

ura 40( +as autori2aciones iniciales( Muchos son amarillo




M950ión( Cómo personali2ar las herramientas de mantenimiento de roles en las soluciones de m,SAP

%eces, las autorizaciones generados por la herramienta de mantenimiento de papel est>nsiempre es completa sobre todo en %ersiones anteriores de la funci'n de mantenimientoramientaQ# Cuando las autorizaciones no se han completado, debe agregar manualmentehas autorizaciones (ue podrBan no haber sido incluidos# Adem>s, laorizaciones (ue %ienen en (ue tenga (ue ser modificada#ura 4'( +as autori2aciones agregar manualmenten administrador de seguridad es a menudo insertando manualmente o autorizaciones

nudo modificar predeterminados autorizaciones de SAP, hay una oportunidad para utilizar 2< para gestionar mejor las autorizaciones dentro de los roles#de el punto de %ista del administrador de seguridad, desea tantoajar como sea posible para hacer autom>ticamente por la herramienta de mantenimiento de papel#autorizaciones m>s (ue ya est>n establecidos de la manera (ue usted necesita ahorrar

mpo y esfuerzo# *a mejor manera de conseguir el generador de perfiles para configurar funciones hastarectamente es utilizar transacci'n SU2<#uaciones especBficas en las (ue el administrador de seguridad puede ser (ue desee utilizar 2< transacci'n son como sigueR

a corregir objetos de autorizaci'n (ue no est>n %inculados a la transacci'ngos correctamentea corregir objetos de autorizaci'n (ue tienen %alores inaceptables por defectoa cambiar los %alores predeterminados a los (ue siempre ser>n apropiadas paraos los papeles (ue nunca %a a utilizar la transacci'n# 0sto significa tener en blanco

mpos en los (ue es necesario permitir a los diferentes roles tienen diferentes %alores#a corregir objetos de autorizaci'n (ue no estOn relacionados con los c'digos de transacci'nrectamente, transacci'n SU2< puede ser muy Ntil en situaciones en las (ue se fijanobjetos de autorizaci'n por defecto proporcionados por P=C" no son correctas#033 S/* /, Todos los derechos reser1ados




ura 4/( <6emplo de cu ndo utili2ar S&*4 *nsacci'n SU2< se puede utilizar para cambiar los %alores por defecto para los (ue %an ampre ser adecuada para todas las funciones (ue nunca usar>n la transacci'n#cambiar los %alores por defecto en SU2<, recuerde (ue usted est> haciendo una

mbio (ue afectar> todos roles# 0s posible (ue tenga (ue dejar algunos campos en blancoos %alores podrBa ser diferente para cada funci'n#hos cambios de SU2< a los %alores predeterminados puede aumentar el trabajo en la actualizaci'n

mpo# 0s importante (ue los cambios realizados se aplican a todas las funciones# 0s mejor ar en blanco los campos (ue pueden diferir en %arios papeles#033 S/* /, Todos los derechos reser1ados

@



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950ura 44( <6emplo de cu ndo utili2ar S&*4 /a %ez (ue haya decidido utilizar SU2<, puede cambiar cuya autorizaci'netos se utilizan de forma predeterminada y c'mo los %alores por defecto se utilizan en los campos# *aura siguiente se proporciona un ejemplo del uso SU2< para cambiar el campo por defectoores#

ura 45( A6uste S&*4 para satis!acer sus necesidadesiguiente te)to e)plica como ajustar SU2< para cambiar %alores por omisi'na un objeto de autorizaci'n en un c'digo de transacci'n especBficaR

cia la transacci'n SU2<#





roduzca el c'digo de transacci'n por el %alor afectado#eccione el c'digo de transacci'n y seleccione Compruebe el indicador#gir Cambiar los %alores de campo#ga clic en el Cambiar icono del objeto de autorizaci'n en la (ue desea%alores se actualicen#a saber (uiOn hizo cambios en transacci'n SU2<, haga lo siguienteR

cia la transacci'n S0?7#rar U"%T) $ en la &ombre de la tabla campo#ice los %alores de la odificador, od4ate, y odtime materias para determinar

mbios (ue se han producido#a %er los cambios (ue se han realizado en la transacci'n SU2<, haga lo siguienteR

cia la transacci'n SU2<#roduzca un c'digo de transacci'n objeto de autorizaci'n o est> interesadoa in%estigaci'n#eccionar 8erificaci'n de pantalla indicadora#eccionar SAP Predeterminados# 0sto le mostrar> los %alores por defecto de SAPsaltar las filas (ue se han modificado los %alores por defecto deporcionada por SAP#a %er los %alores de campo (ue han cambiado, seleccione uestra los %alores del campo#eccionar SAP Predeterminados# 0sto le mostrar> los %alores predeterminados de SAP yaltar los %alores de los campos (ue han sido cambiados de los %alores predeterminadosporcionada por SAP#

mostración( Cómo .acer Cam$ios en S&*4 ,mo a!ectan esos cam$ios a Papelpósito

o demuestra c'mo realizar cambios en SU2< y c'mo los cambiosctar> el papel#os del sistemaemaR

enteRde usuarioRntraseDaRma (ue la clasema (ue la clasema (ue la clasema (ue la clase03




dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950ablecer instruccionesR@a creado una funci'n llamada "9 T T SA*0SC*09[#a funci'n s'lo necesita un c'digo de transacci'n, 8A ?# Usted s'lo puede aceptar laores predeterminados y generar el papel#

Comience P=C" transacci'n# uestra el papel (ue ha creado para estedemostraci'n, "9 T T SA*0SC*09[#

ga clic en el *as autorizaciones ficha y haga clic en Cambiar los datos de autorizaci'n#adre en la clase de objeto de autorizaci'n 8entas y 4istribuci'n# 0ntoncesfundizar en el objeto de autorizaci'n 8entas 4ocumentoR Autorizaci'n paraas de 8enta - 8 83A[ 8[5#ga en cuenta el %alor por defecto para las acti%idades ?, 2, !, 7, 2<, 2 # 9ecuerde a la

udiantes de estas acti%idades est>n a(uB debido a los ajustes en las transacciones2<#cia la transacci'n SU2<, introduzca 8A ? en la C'digo de transacci'n campo ycutar#eccionar 8A ? y seleccionar Cambiar Compruebe el indicador#pl>cese hasta el final, deberBa %er 8 83A[ 8[5#gir Cambiar los %alores de campo#pl>cese hacia abajo hasta (ue encuentre 8 83A[ 8[5# @aga clic en el icono de l>piz juntos campos de acti%idad# 3orrar Seleccione todas las acti%idades a e)cepci'n de ?, 2, !#

be las entradas#

8ol%er a P=C"# ngrese su papel, "9 T T SA*0SC*09[, en cambiomodo#

@aga clic en el *as autorizaciones tab#Clic odo e)perto para generaci'n#Seleccionar *eer %iejo y se combinan con los nue%os datos# Perforar en 8entas y 4istribuci'n

→ 8 83A[ 8[5# *as acti%idades ahora deberBa ser ?, 2, !#mostración( Cómo ver los cam$ios reali2ados en S&*4pósitobjeti%o de esta demostraci'n es mostrar c'mo mirar y SU2<o saber si se han realizado cambios en SU2<#os del sistemaemaR

enteRde usuarioRma (ue la clasema (ue la clasema (ue la clase





ntraseDaRablecer instruccionesRnifestaci'n#

ma (ue la clasehay ninguna configuraci'n especBfica re(uerida para estaontrar lo (ue se han realizado cambios a SU2<Rcia la transacci'n S0?7#rar U"%T) $ en la &ombre de la tabla campo#ice los %alores de la odificador, od4ate, y odtime campos a

erminar los cambios (ue se han producido#or ;u reducir el alcance de las compro$aciones de autori2ación entemas SAP

em>s de utilizar la transacci'n SU2< para mostrar los %alores predeterminados de campo,mbiOn se puede utilizar para reducir las comprobaciones de autorizaci'n en tiempo de ejecuci'n# 0sto tiene el efectono realizar una comprobaci'n de autorizaci'n en un objeto de autorizaci'n especBfica#ed debe tener cuidado al decidir (uO comprobaciones de autorizaci'n pararimir# Por la supresi'n de los controles de autorizaci'n, se permite a los usuarios realizar as para las (ue no est>n e)plBcitamente permitidas#

siguientes situaciones serBan razones para desacti%ar las comprobaciones de autorizaci'nR

todos los objetos de autorizaci'n se utilizan por ejemploR A$0 *"&,*=A? 30[Qhos campos de autorizaci'n contienen un asterisco ^Q

da transacci'n se %erifica por S $C540iguiente es un ejemplo de una situaci'n (ue justifi(ueacti%ar las comprobaciones de autorizaci'n# Su empresa tiene un almacOn#bjeto de autorizaci'n (ue protege el almacOn es A$0 *"&#

su situaci'n de negocio, usted no desea comprobar (uO almacOn,(ue s'lo tiene un almacOn# Usted desea (ue esta autorizaci'neto de no ser controlados en tiempo de ejecuci'n#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950ura 4?( Reducción de las compro$aciones de autori2ación en S&*4a siguiente lista, no %eo un caso en (ue U ha sido utilizado# S'lo se centran en

6 C 6 &# 0s posible (ue desee (ue aparezca SU2< mientras (ue discutir esta lista#e)to siguiente se e)plica el significado de los indicadores de %erificaci'nR

9e%isar 6 antener na comprobaci'n de autorizaci'n se lle%a a cabo en contra de este objeto# 0l papelerramienta de mantenimiento transacci'n P=C"Q crea una autorizaci'n a talalores de los objetos, y el campo se muestran para cambiar# *os %alores predeterminados parata autorizaci'n puede ser mantenido#3uscar

Una comprobaci'n de autorizaci'n se lle%a a cabo en contra de este objeto# 0l papelerramienta de mantenimiento transacci'n P=C"Q no crea una autorizaci'nara este objeto, por lo (ue los %alores de campo no se muestran# &o hay %alores predeterminados parasta autorizaci'n puede ser mantenido# &o comprobar a %erificaci'n de autorizaci'n respecto a este objeto est> deshabilitado# 0l papelerramienta de mantenimiento transacci'n P=C"Q no crea una autorizaci'nara este objeto, por lo (ue los %alores de campo no se muestran# &o hay %alores predeterminados parasta autorizaci'n puede ser mantenido#




M950ión( Cómo personali2ar las herramientas de mantenimiento de roles en las soluciones de m,SAPsin mantenimiento

&o hay indicador de %erificaci'n est> acti%ada# Una %erificaci'n de autorizaci'n se realiza siempren contra de este objeto# *a herramienta de mantenimiento de 9oles P=C" transacci'nQo crea una autorizaci'n para este objeto, por lo (ue los %alores de campo sono se muestra#a transacci'n SU2< puede actualizar A$0 *"& y cambiar el che(uecar aN para &o ar(ue# 0sta acci'n desacti%a la %erificaci'n de autorizaci'n paraA$0 *"&#

cauci'nR Cuando se reduce el alcance de los controles de autorizaci'n,mitir a los usuarios para realizar las acti%idades sin asegurarse de (ue el usuarionta con las autorizaciones pertinentes, (ue podrBan conducir a un indeseablectos# Considerar la necesidad de utilizar esta opci'n con cuidado antes deupresi'n de los controles de autorizaci'n#etos de autorizaci'n de la base S ^Q y 9ecursos @umanoscaciones de gesti'n P ^, P*5"Q no pueden ser e)cluidos de

mprobar (ue el campo %alores para estos objetos siempre debengase un che(ueo#de la perspecti%a del auditor, si usted encuentra una comprobaci'n de autorizaci'n ha sidoacti%ada, simplemente asegNrese de (ue la desacti%aci'n se reNne con la polBtica de la empresa# Paramplo, algunas empresas se preocupan por %erificar el c'digo de transacci'n en ela de %entas solamente# Una %ez en el c'digo de transacci'n, un usuario tiene acceso completo# 0nsituaci'n las empresas pueden decidir desacti%ar algunos autorizaci'n

(ues# 4ebido a (ue un empleado de %entas tiene un amplio acceso a la transacci'n %endedoragos, desacti%ar las comprobaciones de autorizaci'n apoya las polBticas de la compaDBa#

os pro$lemas con la .erramienta de Mantenimiento Papelando la herramienta de mantenimiento de papel se utiliza, las autorizaciones se podrBa con%ertir # Un objeto de autorizaci'n apagado en P=C" transacci'n significa el papela concedido ningNn acceso a ese objeto de autorizaci'n#

a %ez (ue un objeto de autorizaci'n est> apagado, puede hacer clic en el icono de papeleraa eliminar todos los objetos de autorizaci'n inacti%os#P recomienda (ue apague en lugar de eliminar objetos est>ndar#mo auditor, esto significa (ue no me importa si usted %e inacti%adaetos de autorizaci'n dentro de un papel# 0llos no garantiza el acceso y ser%ir

mo una buena documentaci'n sobre los cambios (ue se han producido en el papel#ecesita m>s de una ocurrencia de un objeto en un papel para una solasacci'n PA! re(uiriendo %arias %ariaciones de P 59" &, por ejemploQ,ccione el objeto en el papel y copiarlo# 0sta acci'n mantiene la autorizaci'ndo y su relaci'n con la operaci'n (ue lle%' a la originaleto en el papel#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950ta de control para personali2ar la .erramienta de Mantenimiento Papelentornos SAPgNrese de re%isar lo siguiente cuando se personaliza el mantenimiento de papel

ramientaR

ga en cuenta los cambios (ue se han hecho para SU2<#gNrese de (ue los cambios realizados en SU2< apoyar las polBticas de la empresae la administraci'n papel m>s manejable#tas de auditor)a de la in!ormación del men del sistema

mos a utilizar las rutas de los menNs siguientes en el Sistema de nformaci'n de AuditorBa paralecci'nR

a elloRfi(ue papel herramienta de mantenimiento es%ado# 0l sistema utiliza el papelramienta de mantenimiento siendo acti%ada por determinada#Qablecer %alores predeterminados de los clientes ensacci'n SU2<#ice esta ruta de menNRusuarios y las autorizaciones de auditorBa

=unci'n Administraci'n→ Sistema>metrosusuarios y las autorizaciones de auditorBa=unci'n Administraci'n→

determinados de autorizaci'n para Perfilerador 4atos del clienteQice la herramienta de mantenimiento de papel, P=C"# *os usuarios y las autorizaciones de auditorBa

→ =unci'n Administraci'n→ PapelAdministraci'n

ice la transacci'n S0?7 para %er (uiOn tieneizado cambios US53$ C#'sito 6 esas de AuditorBa→ esaormaci'n→ 4atos de na%egador→a 3ro+ser





6ercicio 5( Controles para la !unciónrramienta de Mantenimientoaci'n del ejercicioR minutos

6etivos del e6erciciopuOs de completar este ejercicio, usted ser> capaz deRe%isi'n de la configuraci'n de control de la herramienta de mantenimiento de papelemplo de <mpresasmo auditor, est> interesado en los tipos de cambios realizados en SU2<#ed (uiere asegurarse de la gente est> utilizando SU2< para reducir el mantenimiento manual deos perfiles# Adem>s, desea saber si alguno comprobaciones de autorizaci'nhan desacti%ado en SU2<#os del sistemaemaR

enteRde usuarioRursontraseDaRablecer instruccionesR

ma (ue la clasema (ue la clase

T T-AU4 $ usuario (ue cre' anteriormente enma (ue la clasenstructor deberBa haber demostrado en cambio 8A ? SU2<#ambio debe afectar al objeto 8 83A[ 8[5# Adem>s,

US09S$A$ debe establecerse en &o ar(ue#ea '

%ise la configuraci'n en SU2< para un c'digo de transacci'n# 3uscar todos inacti%osmprobaciones de autorizaci'n#

gir Usuarios y Autorizaciones→ =unci'n Administraci'n→ Autorizaci'n%alores por defecto para el generador de perfil datos de clientesQ para e)aminar los cambiosse han producido en la transacci'n SU2< para la transacci'n 8A ?#aR @acer cambios para 8A ? deberBa haber sido

mostrado por su instructor# 1ueremos e)aminar lambios el instructor hizo#ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados




ga en cuenta los objetos de autorizaci'n (ue han sido apagados conectado aChec Q#erenciaR 0n la transacci'n SU2<, la SAP predeterminadosn muestra todos los objetos de autorizaci'n (ue se apagaronel cliente#ultaray algunos objetos de autorizaci'n cuando se ha producido un cambio

como 0ntrada 6 antenimiento a &o Chec , la SAP predeterminados columna, aparecer> una listal es el %alor predeterminado original para este objeto# Adem>s, el te)torecer> en un color brillante como el rojo#ea *a tarea es opcional# 0n esta tarea, los estudiantes utilizar>n su usuario a%anzado,

; -T T, para actualizar SU2<, a continuaci'n, crear una funci'n (ue utiliza sus cambiosSU2<#ualizar SU2< utilizar los nue%os %alores predeterminados, crear un papel para %er c'mo los %aloresctar la herramienta de mantenimiento rol#

medida (ue el usuario de la energBa, A4 ; -T T, iniciar la transacci'n SU2<# Utilice eluiente tabla para %er (uO c'digo de transacci'n a los cambios y (uO cambioser#aR *a siguiente tabla contiene cambios para (ue usted puedaer en la transacci'n SU2<# 0stos cambios no reflejar omendaciones de SAP# 0stos est>n destinados solamente a

mostrar c'mo hacer cambios en la transacci'n SU2<ora la funci'n de mantenimiento#

po $rans-#actionC'digo

C22

ue hay (ue cambiar eto 8 *0C C[PR default campo AC$8$ a ?,

< s'loeto C A0&9 3"9R campo predeterminado para 30"9U$3A[ AA$ objetoR campo predeterminado AC$8$ a 2,<! solamenteV campo predeterminado AUA9$ a S5





dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950po $rans-#actionC'digo

!

7Z7?$2

?ue hay (ue cambiar

S98 *S 5bjetoR default campo AS$FP a todos,S$3[P= 30S 5bjetoR campo por defecto 39"9U a $0S$eto = 3[P= [5AR default campo AC$8$ a ?,

!3[P= 30S 5bjetoR campo por defecto 39"9U a $0S$eto P 59" &R default campo P09SA a 2! Vmpo predeterminado P09S" a ?eto P 59" &R default campo P09SA a 2! V

mpo predeterminado P09S" a ?eto C A0&9 09/R default campo AC$8$ a ?,

V campo predeterminado A0=U& a ?V %alor predeterminado del campo A0S&$?34S 4S 5bjetoR default campo AC$8$ a ?, 2,Z\eto A 3 A&*[*R default campo A&*[* a

?

P

ar una funci'n,8 # # M&R%'E7 (ue utiliza el c'digo de transacci'nmbiado en SU2<# ntroduzca el c'digo de transacci'n en el enN parte

papel# d a la *as autorizaciones parte y obser%e c'mo el%alores predeterminados de los ajustes realizados en la transacci'n SU2< son

ora se muestran#ea /mo auditor, mira los cambios (ue se han producido en la transacci'n SU2<#

medida (ue el usuario de auditorBa, "9P T T-AU4 $, elegir Usuarios y AutorizacionesditorBa→ =unci'n Administraci'n→ *os %alores por defecto para la autorizaci'n Perfil

erador 4atos del clienteQ#roduzca el c'digo de transacci'n cambia o un pr'jimo cambiado,izar el SAP predeterminados bot'n para e%aluar los cambios (ue se hicieron#





olución 5( Controles para el papelrramienta de Mantenimientoea '

%ise la configuraci'n en SU2< para un c'digo de transacci'n# 3uscar todos inacti%osmprobaciones de autorizaci'n#

gir Usuarios y Autorizaciones→ =unci'n Administraci'n→ Autorizaci'n%alores por defecto para el generador de perfil datos de clientesQ para e)aminar los cambiosse han producido en la transacci'n SU2< para la transacci'n 8A ?#aR @acer cambios para 8A ? deberBa haber sidomostrado por su instructor# 1ueremos e)aminar la

mbios el instructor hizo#

gir Usuarios y Autorizaciones→ =unci'n Administraci'n→ores por defecto para la autorizaci'n Profile "enerator 4atos del clienteQ#rar 5A ! en la C'digo de transacci'n campo#cutar la operaci'n con las teclas de funci'n =\#

ga clic en el c'digo de transacci'n 8A ? y seleccione 8erificaci'n de pantalla indicadora#gir uestra los %alores del campo#pl>cese hacia abajo hasta (ue %ea el objeto de autorizaci'n,3A[ 8[5# @aga doble clic en AC$8$ para %er las acti%idades#elecci'n predeterminada SAP incluye Crear ?Q, Cambio 2Q,

play !Q, 3orrar 7Q, Archi%o 2<Q, 9eload 2 Q#unci'n de los cambios en el sistema, es posible (ue %ea diferente%idades seleccionadas#






C22

ue hay (ue cambiar eto 8 *0C C[PR default campo AC$8$ a ?,< s'lo

eto C A0&9 3"9R campo predeterminado para 30"9U$3A[ AA$ objetoR campo predeterminado AC$8$ a 2,<! solamenteV campo predeterminado AUA9$ a S5?& objeto 3A&= 3SAR default campo 3SA9$ a &3?& objeto 30S$ 3SAR default campo 3SA9$ a &3

!PZ

?&&?P*

C"9?

2

eto = S[A? [$PR campo predeterminado para [$5P*US, campo predeterminado AC$8$ a s'lo ?, 2, 7eto = 3[P= 30[R campo predeterminado para 39"9U$

eto S SP5 408R default campo SP5408 C0 aC*eto S 4080*5PR default campo AC$8$ a ?7dem>s de los %alores actualesQeto 8 8$$[ S@$R default campo S@$FP a

?- ?eto = [&A? 3U[R default campo AC$8$ a !,

eto 30S$ 3SAR default campo AC$8$ a ?,Z , Z7V campo 3SA9$ defecto A3 - & ^A ; [8S 5bjetoR campo por defecto 399U a $0S$eto [ 90P5 CCAR campo predeterminado para [5S$*

-2US09 A"9 objetoR campo predeterminado AC$8$ al !

eto P 59" &R default campo P09SA a 2! Vmpo predeterminado P09S" a ?eto P 59" &R default campo P09SA a 2! V

mpo predeterminado P09S" a ?eto P P09&9R default campo AU$@C a 9 ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950po $rans-#actionC'digo

52??!

7Z7?$2

?ue hay (ue cambiar

eto C [APA P*AR default campo AC$8$ al !7eto S US09 "9PR default campo AC$8$ a

, \ no 7 o 2<Qeto A$0 A9R campo predeterminado para 30"9U$

S98 *S 5bjetoR default campo AS$FP a todos,S$3[P= 30S 5bjetoR campo por defecto 39"9U a $0S$eto = 3[P= [5AR default campo AC$8$ a ?,

!3[P= 30S 5bjetoR campo por defecto 39"9U a $0S$eto P 59" &R default campo P09SA a 2! V

mpo predeterminado P09S" a ?eto P 59" &R default campo P09SA a 2! Vmpo predeterminado P09S" a ?eto C A0&9 09/R default campo AC$8$ a ?,

V campo predeterminado A0=U& a ?V %alor predeterminado del campo A0S&$?ntinNa en la p>gina siguiente*3 S/* /, Todos los derechos reser1ados03





P

ue hay (ue cambiar 34S 4S 5bjetoR default campo AC$8$ a ?, 2,Z\eto A 3 A&*[*R default campo A&*[* a

?

mo A4 ; -T T iniciar la transacci'n SU2<#a C'digo de transacci'n campo, introduzca la transacci'n de la tabla

eriormente (ue corresponde a su nNmero de grupo#gir Programa→ 0jecutar#eccionar Cambiar comprobar indicador#e pedir> una solicitud de cambio por(ue se trata de

os transportables# 0legir Crear petici'n#gresa la 3re%e descripci'n tal comop,ue@+s "U 1 p+,+ el ,upo

ga clic en el Ahorrar iconoaga clic en la marca de %erificaci'n %erde para continuar#

gir Cambiar los %alores de campo#(ue el objeto de autorizaci'n (ue figura en la tabla para su

para hacer (ue el cambio re(uested#group# @aga clic en elrdar y salir SU2<#ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados

/




ar una funci'n,8 # # M&R%'E7 (ue utiliza el c'digo de transacci'nmbiado en SU2<# ntroduzca el c'digo de transacci'n en el enN parte

papel# d a la *as autorizaciones parte y obser%e c'mo el%alores predeterminados de los ajustes realizados en la transacci'n SU2< son

ora se muestran#

mo A4 ; -T T, elegir nstrumentos→ antenimiento por el usuario→ Papeltenimiento→ 9oles#

rar 8 # # M&R%'E en la Papel campo y elija Crear funci'n#riba una descripci'n bre%e y elegir Ahorrar eccione la enN tab#

# 0legir ADadir $ransactionerte su transacci'n de la tabla anterior y elegir Asignar nsacciones#eccione la *as autorizaciones tab#gir Cambiar los datos de autorizaci'n# 0s posible (ue se le pida (uerdar su papel de nue%o#arecer> un cuadro de di>logo solicitando *os %alores organizacionales podrBa parecer# Si, s'lo tiene (ue utilizar un asterisco ^Q para todos los %alores#ienda nombres tOcnicos si no est>n yaQ al elegir idades→ &ombres tOcnicos 3ajo#(ue el objeto de autorizaci'n informado en la transacci'n2<# 4eberBa %er los %alores designados por defectoores#ay amarillos aNn m>s, puede haber una oportunidad paraizar m>s los %alores predeterminados# $enga en mente, usted debe actualizar SU2<si est> cambiando siempre el mismo objeto muchas %eces, en

chos papeles, y hacer los mismos cambios en %arias ocasiones#

ionalmente, rellene los %alores restantes de color amarillo con un asteriscoQ F generar el papel por la elecci'n *as autorizaciones→ "enerar#

pte el nombre predeterminado para el perfil#ea /mo auditor, mira los cambios (ue se han producido en la transacci'n SU2<#

medida (ue el usuario de auditorBa, "9P T T-AU4 $, elegir Usuarios y AutorizacionesditorBa→ =unci'n Administraci'n→ *os %alores por defecto para la autorizaci'n Perfil

erador 4atos del clienteQ#ntinNa en la p>gina siguiente43 S/* /, Todos los derechos reser1ados03



M950ión( Cómo personali2ar las herramientas de mantenimiento de roles en las soluciones de m,SAProduzca el c'digo de transacci'n cambia o un pr'jimo cambiado,izar el SAP predeterminados bot'n para e%aluar los cambios (ue se hicieron#

mo "9P T T-AU4 $, elegir *os usuarios y las autorizaciones de auditorBa→ Papelministraci'n→ *os %alores por defecto para la autorizaci'n Profile "enerator tos del clienteQ#

grese su c'digo de transacci'n o el de su %ecino actualizadoQegir Programa→ 0jecutar#eccionar 4e %erificaci'n ostrar indicador#gir ostrar los %alores de campo#eccionar SAP Predeterminados# *os %alores (ue cambiaron debe aparecer en

o de otro color#033 S/* /, Todos los derechos reser1ados

5



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950sumen de la lecciónora deberBa ser capaz deRdentificar el prop'sito de personalizar el mantenimiento defecto papel

%aloresescribir c'mo personalizar los %alores por defecto de mantenimiento de rolemostrar las tOcnicas para la identificaci'n de las actualizaciones del papel

%alores por defecto de mantenimientoormación relacionada

nceptos de autorizaci'n en A4 ;<autorizaciones ade 0asy SAP *abs publicaci'nQR %Oase el CapBtulo ?2 sobrensejos y soluci'n de problemas?3 S/* /, Todos los derechos reser1ados03



M950ión( <l usuario Protección , Administración de Grupo

cción( <l usuario Protección , Administración de Grupoaci'n de la claseR 7 minutoss;ue6o de la lecciónesta lecci'n se analiza la gesti'n de la seguridad de los usuarios# 8amos a re%isar chos informes y herramientas (ue est>n disponibles para la autorizaci'n de la in%estigaci'n del usuariostiones# 8amos a discutir los par>metros de perfil (ue se pueden utilizar para administrar intentos de inicio de sesi'n# $ambiOn %amos a re%isar la separaci'n de funciones de seguridad

ministradores y segregaci'n de funciones para los usuarios finales#6etivos de la lecciónpuOs de finalizar esta lecci'n, el alumno ser> capaz deR

ntificar los problemas y proponer soluciones utilizando la informaci'n del usuarioemali(ue seguridad centralizada y descentralizadalicar la segregaci'n SAP recomendada de funciones en unorno de seguridad descentralizadantificar combinaciones inseguras de las autorizaciones, y analizar

gnaciones de autorizaci'n en los sistemas de producci'n utilizando el usuarioormaci'n del sistema

mostrar la capacidad de depurar las autorizaciones utilizando el Sistemarramienta de seguimientouctura de la seguridad para los usuarios de SAP SAP est>ndar ^, 44 C y SAPy/atch

uema crBticos relacionados con el inicio de sesi'n, los par>metros del perfil y la forma de gestionar s par>metrosmine los registros de cambios para cambios de usuario y de grupo

a lecci'n se centrar> en el uso de los informes de seguridad para depurar y analizar blemas# 8amos a repasar los informes especBficos y ofrecer algunas pautaso (ue debe buscar - %amos a dar algunos ejemplos de segregaci'n deciones para los usuarios#mportante (ue los clientes utilicen su "9P T T-Audit 4 de usuario# $odos los menNs

minos se utilice el SAP AU4 $59 SA 3C CC US9 papel (ue se utilizael "9P T T-AU4 $ usuario#

a lecci'n tambiOn describe la separaci'n de funciones de seguridad descentralizada#o de los puntos SAP recomienda es una persona para crear los papeles, otrosona para generar los perfiles# &o sO de ningNn cliente (ueregar a este grado una persona crea los roles y autorizaciones,o otra persona debe hacer clic en generarQ# Se menciona en la clase033 S/* /, Todos los derechos reser1ados

@



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950(ue est> recomendado en nuestra ayuda en lBnea# Sin embargo, cuando se habla deregaci'n de funciones, hacen asegurar auditores entender los di%ersoso(ues# 0sta lecci'n debe hablar de cada enfo(ue y la %alidez dea enfo(ue#ando hablamos de los par>metros de inicio de sesi'n s'lo ser> desde la perspecti%aue los par>metros de la gente de seguridad (ue desee cambiar# &o lo haremos

cutir c'mo cambiar par>metros ya (ue se trat' en la A4 ?supuesto#

emplo de <mpresascompaDBa est> re%isando las polBticas de seguridad# @ay %arios elementos (ue

ea re%isarR

creado muchos usuarios# XSon todos los 4s de usuario necesariosW Sony identificadores de usuario innecesariasWempresa tiene polBticas de segregaci'n de funciones# Son a(uellasrecta aplicaci'n de las polBticasWuO informes de seguridad est>n disponibles para su usoWuO polBticas de seguridad relacionadas con el control de inicio de sesi'n y contraseDa de otromasmo nos aseguramos de (ue los administradores de seguridad son correctamente

guradaWadministrador le ha preguntadoR EX1uiOn gestiona los gerentesWE Ustede demostrar (ue los administradores de usuario no est>n en condiciones de

mprometer la seguridad del sistema# 4e hecho, se le pedir> para auditar la seguridad deos los datos de usuario y los datos relacionados con el grupo en su sistema de producci'n#Plan de tra$a6o para esta leccióna lecci'n e)plica los pasos (ue debe tomar para asegurar el usuario y grupoministraci'nR

ice el sistema de informaci'n del usuario para determinar e)actamente (uiOn puedeizar las accionesgNrese de enfo(ues de seguridad descentralizados o centralizados son totalmentelementadoice las herramientas de rastreo en algunas situaciones de auditorBaopiadamente par>metros establecidos (ue afectan a c'mo se implementa la seguridad33 S/* /, Todos los derechos reser1ados03



M950ión( <l usuario Protección , Administración de Grupominos de men en el Sistema de In!ormación de Auditor)aas las sendas de menN utilizados en el Sistema de nformaci'n de AuditorBa A SQ se enumerannal de esta lecci'n# 8amos a utilizar las rutas de los menNs siguientes en A S paralecci'nR

ema de AuditorBa→ 9egistros del sistema y muestra el estado→ "rabaciones especialesSistema de seguimientousuarios y las autorizaciones de auditorBa→ ###ema de AuditorBa→ Configuraci'n del sistema→ Par>metros→ Sistemapar>metros con los documentos de la

anual de Sistema de In!ormaciónistema de informaci'n del usuario es una herramienta fundamental para la depuraci'nblemas relacionados con la seguridad y para identificar r>pidamente c'mo la seguridad se estableceba en cual(uier sistema dado# 0l Sistema de nformaci'n de usuario es Ntil tanto paraadministradores de seguridad y auditores#uta de menN en el menN est>ndar de SAP es nstrumentos→ Administraci'n→tenimiento por el usuario→ nformaci'n del sistema#uta del menN de la funci'n de auditor *os usuarios y las autorizaciones de auditorBa

*os usuarios del sistema de informaci'n y autorizaciones# 0n esta clase seentran en la ruta de menN de la funci'n de auditor# >s temprano en el curso

creado un papel auditor e incluy' el papel SAP proporciona,P AU4 $59 SA 3C CC US9# A lo largo de esta lecci'n, %amos a utilizar uta del menN (ue ofrece este papel auditor SAP#istema de informaci'n del usuario (ue permite a la in%estigaci'n por parte del usuario, la funci'n,fil, o %alor de autorizaci'n# @ay muchas maneras de obtener para el mismoos# 0l sistema de informaci'n le permite %er la informaci'n de laspecti%a (ue m>s te interesa#istema de nformaci'n de usuario tiene los siguientes componentesR

'n general de usuarios - 3uscar 4 de usuario (ue ya no se usanuario - 3uscar informaci'n sobre los usuarioses - 3uscar informaci'n sobre las funcionesfiles - 3uscar informaci'n sobre los perfilesautorizaciones - 3uscar informaci'n sobre una autorizaci'n especBfica

etos de autorizaci'n - 0ncuentre los detalles de objetos de autorizaci'nnsacciones - 8er por los usuarios, perfiles y autorizacionesmparaciones - Comparar los usuarios de un sistema o entre sistemasdeR se utiliza la lista - 3uscar en un objeto de autorizaci'n se utiliza03





mbiar los documentos - Cambio de los documentos para los usuarios, perfiles,orizacionesy una subsecci'n para cada parte del sistema de informaci'n# Una demostraci'ninal se pide un informe de demostraci'n de su elecci'n de cada secci'n#embargo, tiene sentido hacer las demos a medida (ue analizan cada subsecci'n#a cada inciso, s'lo demostrar uno de los informes y el %alor (ueade# 4ebe haber un ejemplo (ue figura en cada subsecci'n (uede utilizar como base de su manifestaci'n#ón general de usuarios

8isi'n general de usuarios secci'n proporciona informes importantes para encontrar usuario(ue ya no son necesarios# $ambiOn proporciona una buena %isi'n general de la

usuarios (ue e)isten#Nmero de registros para el Usuario aestro informe muestra el nNmero total de usuariosstros maestros e)istentes por cliente# Por ejemploR

mero de usuarios por clienteente

cripci'nducci'nP A"mero7Z

Usuario sQ con la direcci'n incompleta esQ informe permite informar sobrede usuario (ue faltan datos (ue re(uieran# Por ejemplo, desea (ue cadaario mantener su departamento y nNmero de telOfono transacci'n actual con o eligiendo Sistema→ Perfil de usuario→ *os datos propiosQ# Puede utilizar informe para mostrar todos los usuarios donde el nNmero de telOfono y departamento

campos est>n en blanco#nforme Panorama de Usuarios Acti%os le permite %er todos los usuarios (ue sonualmente acti%o en su sistema SAP este informe se ejecuta la transacci'n A* \Q#siguientes cuatro informes en el 8isi'n general de usuarios carpeta son usuarios deha de 9egistro, los usuarios con contraseDa inicial, no conectado a

dBas, y la contraseDa no ha cambiado durante ?\ dBas# $odos estos informescutar %ariaciones del informe SAP 9SUS92 , lo cual es muy Ntil para

eterminaci'n de los 4 de usuario (ue ya no son necesarios en el sistema# @aymuchos buenos usos de este informe, en particular para encontrar los 4 de usuario (ue podrBanno se utilizanR los 4 de usuario con la contraseDa inicial, los usuarios (ue no tienenectado durante muchos dBas, los usuarios con la misma contraseDa para %arios dBas#

a figura muestra un ejemplo de la bNs(ueda de 4 de usuario (ue aNn tienen su inicialtraseDa#





ura 4@( +os ID de usuario con contraseJa inicial ' informe muestra el usuario, el grupo asignado por el usuario, (ue ha creado el usuario,ndo el usuario se ha creado, cuando el usuario tenBa el Nltimo inicio de sesi'n# 0n estermar es probable (ue %ea muchos 4s de usuario (ue son no se utiliza, significadosuario no haya iniciado sesi'n 0sta informaci'n puede ayudarle a gestionar suP licencias de usuario#ura 43( +os ID de usuario con contraseJa inicial *8isi'n general de usuarios informes son una manera r>pida y eficaz para %er el nNmeroos usuarios, los usuarios actualmente acti%os, y los usuarios ya no es necesario#ormes de usuariosUsuario secci'n es una mejor manera de saber e)actamente cu>les son las funciones de un usuarioden acceder# Usted puede encontrar los usuarios de sus datos de direcci'n, las funciones (ue tienen,eso especBfico a un campo, por lo (ue los c'digos de transacci'n (ue tienen, por lochos inicios de sesi'n incorrectos (ue un usuario haya e)perimentado# @ay muchas maneras deizar los informes de los usuarios para ayudar en la depuraci'n#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950ejemplo, tiene (ue saber todo el mundo (ue tenga acceso a una autorizaci'n

eto = 3[P= 3U[# Adem>s es necesario (ue todo el mundo tiene una acti%idad ?rearQ para el c'digo de la compaDBa ? 0lija *os usuarios y las autorizaciones de auditorBa→uario→ *os usuarios de 8alores autorizaci'nQ#ura 49( >uscar usuario con valores de autori2ación espec)!icos

ceda al informe seleccionando Usuario→ *os usuarios de 8alores autorizaci'n#roduzca el objeto de autorizaci'n (ue desee in%estigar#gir 8alores de entrada#a cada campo en el objeto de autorizaci'n, escriba el %alor (ue deseain%estigaci'n#

o desea, puede utilizar el Alias de 4 de usuario campo para limitar los usuarios(ueda#aspecto Nnico de las comunicaciones de los usuarios es la posibilidad de personalizar los informesa satisfacer sus necesidades de negocio# 0sta personalizaci'n puede ser utilizada para asegurar >n siguiendo polBticas de su empresa respecto a la segregaci'n de los negociosciones# 8amos a %er una serie de escenarios de negocios pocos para %er c'mo este informe puededarle a in%estigar las polBticas de segregaci'n de funciones#cauci'nR Por fa%or, tenga en cuenta las siguientes son s'lo ejemplos#da empresa es diferente, cada empresa implementa SAPmanera diferente# 0stamos tratando de mostrar ejemplos generales de c'mo sermes pueden ayudar en las polBticas especBficas acerca de la separaci'n de funciones de su

presa pueda tener#





uarios de su empresa determinar> transacci'n crBticombinaciones, s'lo (ueremos hacerle saber (uO informaci'n esible y c'mo el administrador de seguridad puede configurar el informe#mos primero a la separaci'n de funciones a tra%Os de los c'digos de transacci'nizado en la compraR

?& se utiliza para crear una solicitud de pedido#?& se utiliza para crear una orden de compra#5 se utiliza para la entrada de mercancBas#

95 se utiliza para crear una factura#ura 50( Separación de unciones de Comprasel ejemplo mostrado en la figura, si un usuario puede ejecutar c'digos de transacciones?&, 02?&, "5 y 95, hay un problema con la segregaci'nunciones# ejemplo muestra los c'digos de transacci'n utilizados en %entas y distribuci'nR

? se utiliza para crear una orden de %enta#

?& se utiliza para crear entrega de salida#! se utiliza para crear una orden de transferencia#2& se utiliza para en%iar la salida de mercancBas#? se utiliza para crear un documento de facturaci'n#




dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950ura 5'( Separación de unciones de #entas , Distri$uciónel ejemplo mostrado en la figura, si un usuario puede ejecutar transacciones

?, 8* ?&, *$ !, 8* 2&, o 8= ?, hay un problema con la segregaci'nunciones#B hay unos cuantos ejemplos m>s de la segregaci'n de funcionesR

osible (ue desee separar lo (ue puede cambiar los datos maestros de pro%eedores,particular frente a los datos, de los (ue puede cortar los che(ues#posible (ue desee permitir a los empleados para crear su hoja de tiempo,o tener a alguien (ue aprobar la hoja de tiempos#posible (ue desee permitir a los empleados para crear su propia cuentarmar, pero tener a alguien (ue apruebe el informe de gastos#

a %ez (ue su empresa ha designado a cu>les son las polBticas, puede utilizar elrmes, los usuarios mediante la combinaci'n crBtica de autorizaci'n de la transacci'n de inicioRusuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n y autorizaciones

Usuario→ Usuarios por combinaci'n crBtica de autorizaci'n de la transacci'n de inicio# informe puede ser configurado para incluir los c'digos de transacci'n (ue interOsd#





ura 5*( Separación de uncionesde ejecutar los Usuarios por combinaci'n crBtica de Start $ransactionorizaci'n de informe para mostrar la salida por el tipo de combinaci'n crBtica

or el usuario# Puede configurar (uO combinaciones de transacci'n sontico para su empresa#ura 5/( Con!iguración de códigos de operaciones para la Segregación de uncionespuOs de obtener la lista de los crBticos combinaciones de c'digo de la transacci'nusuarios de negocios, puede configurar las combinaciones en el informe#usuarios de combinaci'n crBtica de transacci'n niciar Autorizaci'nrme comprueba objeto de autorizaci'n S $C540 para %er (uO c'digos de transacci'n

usuario puede ejecutar# 0ste informe puede ser muy Ntil, pero a %ecesfieren comprobar los %alores de autorizaci'n especBficos#ista de usuarios con autorizaciones informe crBtico a enumerar los usuarios

acuerdo con los %alores de autorizaci'n# SAP proporciona %alores por defecto para el sistemaautorizaciones# Para acceder a este informe desde el menN principal de SAP, seleccione nstrumentosAdministraci'n→ antenimiento por el usuario→ nformaci'n del sistema→ Usuario→ *ista033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950usuarios con autorizaciones de CrBticos# 4esde el rol de auditor, elija *os usuarios y losautorizaciones de AuditorBa→ *os usuarios del sistema de informaci'n y autorizaciones→ Usuario

Usuario con las autorizaciones CrBticos#ura 54( Reporte de autori2aciones cr)tico es un informe donde se puede buscar %alores de autorizaci'n especBficos# SAP

propuesto %arios %alores (ue se centran en el sistema de administraci'n de la seguridadstiones# Cada objeto de autorizaci'n en esta lista se discute en detalle en estesupuesto# $ambiOn puede configurar los %alores de autorizaci'n (ue desea comprobar#

ura 55( +as autori2aciones cr)ticos proporcionados por SAPP ha proporcionado una serie de propuestas de autorizaci'n pocos, (ue utilizan los siguientes

mentosR

bjeto de autorizaci'nampo en el objeto de autorizaci'n

%alor especBfico para el campo




M950ión( <l usuario Protección , Administración de Grupodministrador de seguridad puede crear sus propios %alores de autorizaci'na comprobarlo# Adem>s de proporcionar el objeto de autorizaci'n, campo, yor, tambiOn es necesario proporcionar un identificador (ue puede ser cual(uier nombre (ue desee#

em>s, los usuarios mediante la selecci'n Complejo informe Criterios le permitea buscar usuarios en funci'n de los criterios de selecci'n complejos# 0ste informe permited combine su bNs(ueda por grupo de usuarios, roles, perfiles, c'digo de transacci'n,

eto de autorizaci'n, autorizaci'n %alores# *a ruta del menN de auditorBa parainforme es *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario→ Usuarios por criterios de selecci'n complejos# 0ste informe puedeporcionar informaci'n desde muchas perspecti%as diferentes#

mo un ejemplo de c'mo este informe se puede utilizar, mira los informes presentados en %irtudmenN de auditorBa en el marco *os usuarios y las autorizaciones de auditorBa→ *os usuarios (ue seorizada# 8er> una lista de los informes, cada c'digo de transacci'n est> %inculada

mismo informe, el Usuarios por criterios de selecci'n complejos informe programaUS9 2Q# Sin embargo, cada c'digo de transacci'n tiene entrada diferente a la

rmar# *os objetos de autorizaci'n utilizados en estos informes se discuten en laci'n, EAsegurando los ser%icios de administraci'n del sistema en producci'n#E 0n esteto, es importante tener en cuenta las diferentes formas pueden ser utilizados para este informedar en su in%estigaci'n y depuraci'n de problemas de autorizaci'n#ura 5?( Reporte RS&SR00*ormes de rol

nformes de rol le permiten encontrar papeles segNn %arios criteriosR por usuariognado, por c'digos de transacci'n, por %alores de autorizaci'n# Un ejemplo dema en (ue estos informes pueden ayudar a usted, se describe en el te)to siguienteRed tiene un papel de %isualizaci'n para el >rea financiera# Adem>s, tienen un papela las di%ersas tareas re(ueridas por los empleados financieros# $iene un papel para

mantenimiento de los datos del pro%eedor, otro papel para el mantenimiento de los datos del cliente#ongamos (ue el empleado de cuentas por pagar normalmente puede mostrar m>s

os financieros desde el papel de pantallaQ y mantener los datos de los pro%eedores# 0stainista acaba de hacer una actualizaci'n a un cliente importante# *as autorizaciones de033 S/* /, Todos los derechos reser1ados

@



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950deberBa haber permitido (ue esto suceda# Puede utilizar 9oles de los usuarios yes de los c'digos de transacci'n para ayudar a determinar por (uO este empleado fue capaz dea realizar la actualizaci'n#!ilesmo se crean los roles, los perfiles deben ser generados para apoyar a los roles# Si elfil de con%enci'n de nomenclatura es muy claro, estos informes pueden ayudarle a depurar blemas por mirar directamente a los perfiles#autori2aciones

os reporst permitir> encontrar informaci'n sobre las autorizaciones especBficas#ejemplo, en SAP 9ecursos @umanos, infotipo \ es salario b>sico# Ustedde utilizar los informes en esta >rea para determinar r>pidamente todas las autorizaciones (uemitir a alguien para mantener los datos b>sicos de pago#etos de autori2aciónos informes le permiten in%estigar un objeto de autorizaci'n# $al %eznecesita para in%estigar c'mo se utiliza una autorizaci'n, tal %ez usted necesitaumentaci'n sobre un objeto de autorizaci'n, o tal %ez lo (ue necesita saber etos de autorizaci'n (ue proteger a un campo especBfico, como centro de costos#nsaccionesy %arias notas de SAP sobre los problemas con los informes en este >mbito# Siestudiante dice (ue han tenido un problema, no se sorprenda# A(uB hay unde notas de SAP sobre el problemaR

; R SU a tra%Os de transacciones no es correcto;?R SU transacciones (ue faltan en la lista de usuarios 9SUS9 ?

os informes le permiten %er r>pidamente (uiOn tiene acceso a (uO transacci'ngos# Usted puede hacer su in%estigaci'n por el usuario, el perfil, la autorizaci'n#mparacionesinformes de comparaci'n le permite comparar f>cilmente los usuarios, roles, perfiles,

utorizaciones# Adem>s, se pueden realizar comparaciones entreemas#





ura 5@( In!orme de la comparación entre los sistemas dende( se utili2a la listainformes *ista de referencia de utilizaci'n permitir> in%estigar c'mo los perfiles,

etos de autorizaci'n, autorizaci'n y se utilizan# Por ejemplo, si deseaa in%estigar uno de los objetos de autorizaci'n de centros de coste, [ CS[S# Usted pueder donde es utilizado por las autorizaciones, perfiles, usuarios y programas#m$iar Documentosn los documentos de cambio se puede in%estigar (ue ha cambiado los usuarios y c'mohan sido cambiados# *as siguientes son opciones para los documentos de cambioa los usuariosR

mbios durante un perBodo de tiempocambios hechos por un usuario especBficousuarios creen o eliminenusuarios (ue se han blo(ueadousuarios con los cambios de contraseDamostración( Revisión de los In!ormespósito

%ise las >reas de informeos del sistemaemaR

enteRde usuarioRntraseDaRma (ue la clasema (ue la claseT T-AU4 $

ma (ue la clase033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950ablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para estanifestaci'n#0jecutar algunos de los informes (ue acabamos de mencionarR

'n general de usuarios - 0ncontrar los 4 de usuario (ue ya no se usanuario - nformaci'n detallada sobre los usuarioses - nformaci'n detallada sobre las funcionesfiles - nformaci'n detallada sobre los perfilesautorizaciones - nformaci'n detallada sobre la autorizaci'n especBfica

etos de autorizaci'n - nformaci'n detallada sobre la autorizaci'netosnsacciones - 8er los usuarios, perfiles y autorizacionesmparaciones - Comparar los usuarios en un sistema o entre sistemasdeR se utiliza la lista - 0ncontrar un objeto de autorizaci'n (ue se utilizambiar 4ocumentos - 4ocumentos de modificaci'n para los usuarios, perfiles,orizacionesguridad centrali2ada versus descentrali2ada Administraciónenfo(ues de la administraci'n de la seguridad se utilizan generalmenteR centralizado

escentralizado# 0n un entorno de seguridad centralizado, un grupoesponsable de todas las tareas de seguridadR creaci'n de usuarios, la creaci'n de roles, y

gnaci'n de roles a los usuarios# &ormalmente, en este entorno de un cliente help des puede restablecer las contraseDas de usuario y posiblemente desblo(uear usuarios#

un entorno de seguridad descentralizada, %arios grupos de trabajo en materia de seguridad#o puede tener lugar de muchas formas diferentes# *as empresas podrBan tener uridad descentralizado basado en la ubicaci'n fBsica, basada en la di%isi'n, con baseBnea de productos, o basado en sociedad# @ay muchas %ariacionesVB se utiliza el tOrmino ubicaci'n en un sentido muy genOrico#

grupo central crea todas las funciones, los usuarios son administrados localmente por a ubicaci'n#

da lugar crea sus propios roles#a empresa con diferentes sub-compaDBas tiene un administrador de seguridada cada sub-empresa#mayorBa de las empresas (ue implementan la seguridad descentralizada, di%ida elajar en la administraci'n de usuarios y administraci'n de roles#

el primer escenario, un grupo central crea todos los roles y los usuarios sonministrado localmente por cada ubicaci'n# 0l usuario administrador crea los usuarios

igna los roles#





el segundo escenario, cada lugar crea sus propios roles# Por ejemplo, unauridad suramericano administrador gestiona usuarios y roles en el sur dena y el administrador de seguridad gestiona diferentes usuarios y roles

Australia#el tercer escenario, una empresa tiene diferentes sub-empresas, cadamitada por un c'digo de compaDBa# 4ebido a (ue estos c'digos de compaDBa operar o de manera aut'noma, cada empresa sub-tiene su propia seguridad

ministrador#el cuarto escenario, la mayorBa de las empresas (ue implementan la seguridadcentralizada, di%idir el trabajo en dos >reas principales, la administraci'n de usuariospapel de la administraci'n#esea implementar la seguridad en forma descentralizada, SAP soportaadministradoresR administrador de usuario, administrador de autorizaci'n,

fil de administrador# 0sto significa (ue una persona crea los usuarios ygna las funcionesV otra persona crea los papeles, pero no pueden generar apel, la tercera persona genera las funciones y nombres de los perfiles#n(ue SAP soporta un administrador de autorizaci'n frente a un perfil

ministrador, la mayorBa de las empresas (uieren la persona (ue crea las funciones abiOn generar los perfiles#objetos de autorizaci'n siguientes se proporcionan para ayudarle con su

uridad de los procedimientos administrati%os para la administraci'n de los usuariosRorizaci'n deobjeto

uO es lotegemoizar contralizadauridad

ortantea la ayudaritorio# *a ayudaritorio re(uiereacti%idades parastrar y a restablecer

un usuariotraseDa#mo utilizar conuridad descentralizadatege S US09 "9P

crear yel mantenimiento delos usuarios, yasignaci'nde funciones a losusuarios

tege grupo (ueos usuarios una seguridad

ministrador puedentener#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950orizaci'n deobjeto

uO es lotege

moizar contralizadauridadbablemente noiza muchora deeguridadpo# *auridad centralpo necesita unrisco#

mo utilizar conuridad descentralizadatege S US09 A"9

crear yel mantenimiento depapeles

ermina (uiOn puedear funciones, y%enciones de nombresa los roles# Si un

ministrador de seguridadAustralia debe nombrar os los papeles AUS, estaeto de autorizaci'nde hacer cumplir la nomenclatura%enci'n#a seguridad escentralizada, e)ceptoecursos humanos y bases,aliza de forma centralizada,autorizaci'n

eto puede garantizar unael descentralizadaministrador no puedeegar c'digos de transacci'nempiezan con P ^ o S ^

ual(uier papel (ue crean#ay seguridadadministradores de cada

iedad, estautorizaci'n puede ser izado para asegurar la

ministrador de seguridada el c'digo de compaDBa ?se puede utilizar ? enores de autorizaci'n

a la sociedad#tege lo S US09 $C4

transacci'nc'digos puede ser incluido en unpapel

es crBtico(ue lauridad centralpo necesita unrisco#tege lo S US09 8A*

*os %alores pueden ser aDadido para unautorizaci'nen el interior de un papel

es crBtico(ue lauridad centralpo necesita un



risco#




M950ión( <l usuario Protección , Administración de Grupoorizaci'n deobjeto

uO es lotege

moizar contralizadauridades crBtico(ue lauridad centralpo necesita unrisco#es crBtico(ue lauridad centralpo necesita unrisco#

mo utilizar conuridad descentralizadatege S US09 AU$

(uien puedeentrar en elautorizaci'nporci'n de unpapel

tege S US09 P95 (uepuede elegir "enerar para unapapel

si un crBticosona puede crear lanN de la parteel, pero alguiens debe actualizar elautorizaciones#si un crBtico

sona puede crear lael, pero otra personae generar el papel#

dependientemente de si una empresa opta por la seguridad descentralizada o centralizadaender> de las polBticas y el medio ambiente de la organizaci'npresa# 0l grado de ejecuci'n y la separaci'n de funciones tambiOn seenden de la din>mica de la corporaci'n# 0n cual(uier caso, no debetroles peri'dicos de alguien m>s para asegurarse de (ue la empresa de seguridadBticas se est>n aplicando sistem>ticamente#tema de herramienta de seguimientoadministradores de seguridad a %eces usan una herramienta de seguimiento del sistema, transacci'n?, para ayudar a depurar errores de autorizaci'n# 4esde el punto de %ista de auditorBa,biOn se puede utilizar para comparar lo (ue las autorizaciones de un usuario tiene con lo

orizaciones de la herramienta de seguimiento dice (ue necesitan# 0l archi%o de rastreo le mostrar>las autorizaciones se comprobaron como un usuario ejecuta tareas especBficas#de acti%ar S$ ? seguimiento para las comprobaciones de autorizaci'n, (ue el usuario hagatareas, desacti%e la traza, y hacer un an>lisis para comparar lo (ue el usuario

uerido en el rastreo con el acceso del usuario tiene actualmente# $ener en menteaza refleja s'lo las acciones (ue el usuario adopte para cada puesto de trabajo# &o podBaotras autorizaciones (ue re(uiere el usuario, pero no para la tarea de trabajo (ue eseja en la traza#herramienta de seguimiento es tambiOn una e)celente herramienta para la depuraci'n# Si un usuario continNabtener errores de autorizaci'n, la herramienta de seguimiento proporcionar> informaci'n sobre (uOsuario necesita#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950ura 53( S:0' RastropuOs de (ue el rastro se haya completado, se puede hacer un an>lisis para %er (uOetos de autorizaci'n se %erificaron#





ando S:0' a :race Autori2ación

ciar la transacci'n S$ ?#gir 0ditar→ =iltrar→ Compartido#roduzca el 4 de usuario de la persona a la (ue desea realizar el seguimiento de la $raza del usuario

campo#eccionar 9astreo#eccionar $raza 5ff cuando haya completado las acciones (ue deseerear#033 S/* /, Todos los derechos reser1ados




ali2ando S:0' :race para las Autori2aciones

ciar la transacci'n S$ ?#gir An>lisis#roduzca el 4 de usuario de la persona (ue desea analizar en el &ombre de usuario

mpo#eccionar Autorizaci'n de che(ue bajo $raza 9ecords#roduzca la fecha y la hora adecuadas y elegir 0jecutar#mostración( Reali2ar un seguimiento , anali2ar S:0'resultados

pósitomostrado S$ ?

os del sistemaemaRmismo como clase

enteRmismo como clasede usuarioR"9P T T-AU4 $, @9A4 "9P-T TntraseDaRmismo como claseablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para esta

mostraci'nComo "9P T T-AU4 $, elija Sistema de AuditorBa→ 9egistros del sistema y el estado deluestra → "rabaciones especiales→ Sistema de rastreo#

eccionar Comprobaci'n de autorizaci'n#gir 0ditar→ =iltros→ Compartido#

a $razar para (ue el usuario s'lo campo, introduzcaHRADMGRP-# #.eccionar 9astreo#cie sesi'n como @9A4 "9P-T T# 0legir antenimiento de datos maestros→tener 4atos maestros#

rar =! ! ! en la &o hay personal campo y pulse 0&$09#eccionar 4atos de Car>cter Personal y elegir Cambiar#mbie el *ugar de nacimiento campo a la ciudad natal de su elecci'n# "uarde elos#

9egreso al usuario "9P T T-AU4 $# 0n S$ ? seleccionar 9astreo#0legir An>lisis# 0n la &ombre de usuario campo, introduzcaHRADMGRP-# #.




M950ión( <l usuario Protección , Administración de Grupo0n la 9egistros de seguimiento >rea suficiente Comprobaci'n de autorizaci'n seleccionado#0jecute el informe#9ealizar un an>lisis, te dar>s cuenta de P 59" & y las di%ersas

nfotipos#de oscuroR la autorizaci'n fue comprobado y e)itoso#egurar SAP Standard usuariosentes y 77 se crean cuando el sistema SAP est> instalado#usuarios especiales se definen en los clientes # 4ado (ue estos usuarios tienen

mbres est>ndar y contraseDas est>ndar, debe asegurar contraso no autorizado por personas ajenas (ue saben de su e)istencia#

usuarios especiales en el sistema de SAP son los siguientesRistema SAP sNper usuario, SAP ^, es el Nnico usuario en el sistema SAP (uee(uiere un registro maestro de usuario, sino (ue en su lugar se define en laema propio c'digo# ^ SAP tiene por defecto la contraseDa PASS, asB comomero ilimitado de autorizaciones de acceso al sistema#a %ez instalado el sistema SAP, un registro maestro de usuario se define por P ^ con la contraseDa 7 Z?;;2 inicial en el cliente # *a presencia de unP ^ registro maestro de usuario desacti%a las propiedades especiales del ^ SAP# $ienela contraseDa y las autorizaciones (ue se han especificado para ella en lastro maestro de usuario#

ara proteger contra el mal uso de SAP, por lo menos debe cambiar sutraseDa del PASS est>ndar# Por razones de seguridad, SAPomienda (ue desacti%e ^ SAP y definir su propio superusuarionicio de sesi'n 6 no automatic user sapstarQ#C es el usuario de mantenimiento para el 4iccionario A3AP y soft+are

Bstica# 0l registro maestro de usuario para 44 C usuario se crea autom>ticamente enndante al instalar el sistema SAP# *a contraseDa predeterminada para

usuario es ?;;2 Z 7# 0l c'digo del sistema permite a los usuarios pri%ilegios especiales 44 Ca ciertas operaciones# Por ejemplo, 44 C es el Nnico usuario (ue se permitea iniciar sesi'n en el sistema SAP durante una actualizaci'n#a asegurar 44 C contra el uso no autorizado, debe cambiar la inicialtraseDa del usuario en el cliente en su SAP 9 6 !#suario 0arly/atch se entrega en el cliente de 77 y est>n protegidos mediante el5F5 contraseDa# *os e)pertos de SAP 0arly/atch utilizar este usuario y sedebe ser suprimida# Cambiar la contraseDa# 0ste usuario debe utilizar para las funciones 0arly/atch super%isi'n y cumplimientoQ#033 S/* /, Todos los derechos reser1ados

@



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950gurar usuario SAP K contra el uso inde$idoistema SAP tiene un usuario predeterminado super, ^ SAP, en el cliente # Un usuariostro maestro se define para SAP ^ cuando el sistema est> instalado# Sin embargo,

AP est> programado en el sistema y no re(uiere de un maestro de usuariostro#

suario no est> sometido a las comprobaciones de autorizaci'n y por lo tanto tiene todoautorizaciones#suario tiene la contraseDa PASS, (ue no se puede cambiar#n registro maestro de usuario e)iste para SAP ^, se comporta como un usuario normal#

> sujeta a comprobaciones de autorizaci'n y la contraseDa se puede cambiar#aR Si desea desacti%ar las propiedades especiales de SAP ^, ajusteerfil del sistema par>metro de inicio de sesi'n 6 no automatic user sapstar

n %alor mayor (ue cero# Si el par>metro se establece en ^, SAP no tiene ningNnpiedades especiales predeterminados# Si no hay ningNn usuario SAP ^ registro maestro,AP no se puede utilizar para iniciar sesi'n#e establecer el par>metro en el perfil del sistema global,AU*$#P=*, por lo (ue es eficaz en todas las instancias de un SAPema# Usted debe asegurarse de (ue e)iste un registro maestro de usuarioa SAP ^, incluso si se establece el par>metro# 4e lo contrario, el restablecimiento de la>metro el %alor %ol%erBa a permitir (ue se conecte conP ^, el PASS contraseDa y autorizaciones de libre disposici'n del sistema#





sactivación de usuario SAP Kli2arido a (ue SAP ^ es un superusuario conocida, SAP recomienda (ue desacti%ey reemplazarlo por su propio superusuario# 0n el registro maestro de usuario SAP ^,ebe proceder de la siguiente maneraRcedimiento

ar un registro maestro de usuario para SAP ^ en todos los nue%os clientes# 4ar este

ario no roles o perfiles#gne una nue%a contraseDa a SAP ^ en el cliente #033 S/* /, Todos los derechos reser1ados




!inición de un Super &suario Buevo

a definir un superusuario para reemplazar ^ SAP, usted s'lo tendr> (ue dar a un usuario laP A** perfil# SAP A** contiene toda SAP 9 6 ! autorizaciones,uyendo nue%as autorizaciones publicadas en el perfil SAP &0/#P &0/ garantiza la compatibilidad hacia arriba de las autorizaciones# *afil asegura (ue los usuarios no son incon%eniente cuando una liberaci'n oualizaci'n incluye nue%as comprobaciones de autorizaci'n para las funciones (ue eran%iamente sin protecci'n#

peci!icación , revisión de las e"cepciones ContraseJade e%itar (ue los usuarios eligen contraseDas (ue no (uierenmitir# Prohibir el uso de una contraseDa, introdNzcala en US9< mesa# Usted puedentener tabla US9< con la transacci'n S ! #US9< , puede especificar las contraseDas no permitidos genOricamente, si (uieres#y dos caracteres comodBnR

epresenta un Nnico car>cter presenta una secuencia de caracteres de cual(uier longitud de combinaci'nsiguientes son ejemplos de configuraciones en US9< tablaR

^ 0n el cuadro US9< prohBbe cual(uier contraseDa (ue se inicia con lauencia ?2!2! ^ prohBbe cual(uier contraseDa (ue contenga la secuencia E?2!EW prohBbe todas las contraseDas (ue comienzan con EA3E y tienen un>cter adicionalR A3A, A33, A3C, etcmo auditor, desea re%isar los ajustes en US9< y asegurarse de (ueconsistentes con las polBticas de la empresa sobre las contraseDas permitidos#stión de inicio de sesión de par metros relacionados con el per!ilos relacionados con el inicio de sesi'n, los par>metros del perfil se puede utilizar para ayudarle en suuridad de aplicaci'n# 0stos par>metros por defecto a los %alores de SAP, (uede ser cambiado por el administrador del sistema# *os siguientes son ejemplosos par>metros del perfilR

protecci'n por contraseDaR longitud y tipo de caracteres necesariosi%ar 6 desacti%ar un 4 de usuario para iniciar sesi'n en m>s de una %ezmpo de espera autom>tico para un usuario inacti%omero de inicios de sesi'n fallidos hasta (ue finaliza una sesi'n y un usuario est> blo(ueado03 S/* /, Todos los derechos reser1ados03



M950ión( <l usuario Protección , Administración de Grupoiguiente tabla muestra los par>metros del perfil con el (ue se pueden establecer traseDa de inicio de sesi'n y las reglas#a %er la documentaci'n para un par>metro, especifi(ue el nombre del par>metroa operaci'n de mantenimiento de los par>metros del perfil 9I??Q, y elija

ualizar# 0n la pantalla siguiente, seleccione 4ocumentaci'n#metros ;ue se usan para comparar dos contraseJas

>metroio 6 min pass+ord lngio 6 min pass+ord digitsio 6 min pass+ord lettersio 6 min pass+ord specialsio 6 min pass+ord diff nificadone la longitud mBnima de latraseDane el nNmero mBnimo de dBgitosa contraseDane el nNmero mBnimo deas de la contraseDane el nNmero mBnimo de

acteres especiales en la contraseDane cu>ntos caracteres de la%a contraseDa debe ser diferentea contraseDa anterior si los usos

mbia su contraseDa# 0sta>metro no tiene ningNn efectorear nue%os usuarios o cuandoablecer contraseDas#ne el perBodo de %alidez detraseDasl usuario inicia sesi'n con Single Sign-5n,

mprueba si el usuario debe cambiar ontraseDa

on6pass+ord e)pira-time

on6pass-d change for SS5

metros ;ue se usan para m ltiples inicios de sesión>metroon6disable multi gui lo-

nificadontrola la desacti%aci'n de mNltiplesinicios de sesi'n de di>logoio 6 disable multi rfc logon Controla la desacti%aci'n de mNltiples

9=C inicios de sesi'nio 6 multi logon usersa de usuarios e)ceptuados inicio de sesi'n mNltipleQ033 S/* /, Todos los derechos reser1ados




metros ;ue se usan para los inicios de sesión incorrectos>metroio 6 fails to session endnificadone el nNmero de solicitantesintentos de inicio de sesi'n antes de (ue el sistema funcionapermita (ue m>s intentos de inicio de sesi'n#

or por defecto !# Se puede ajustar a cual(uier or entre ? y ;; inclusi%e#io 6 fails to user locne el nNmero de solicitantesintentos de inicio de sesi'n antes de (ue el sistema se congelasuario#or por defecto ?2# Se puede ajustar a cual(uier or entre ? y ;; inclusi%e#

on6failed user auto un-(uear ne si el usuario blo(uea debido antos fallidos de inicio de sesi'n debe ser

minan autom>ticamente a la medianochemetros ;ue se usan para la valide2 limitada de contraseJa inicial

>metroon6pass-d ma) ne+ %alidon6pass+ord ma) re-%alidnificadone el perBodo de %alidez detraseDas para los usuarios reciOn creadosne el perBodo de %alidez de reposici'ntraseDaspar metros utili2ados para desactivar inicio de sesión ContraseJa

>metroon6disable pass+ord lo-

on6pass+ord logon user-po

nificadontrola la desacti%aci'n deada en contraseDa de inicio de sesi'nntrola la desacti%aci'n deada en contraseDa de inicio de sesi'n del usuarioposs par metros de inicio de sesión>metroon6no auto-ic user sapstar nificadontrola el usuario SAP ^*3 S/* /, Todos los derechos reser1ados03



M950ión( <l usuario Protección , Administración de Grupo>metroio 6 system clientnificadoecifica el cliente predeterminado# 0ste clienteellena autom>ticamente en el sistemaio de sesi'n de pantalla# *os usuarios pueden escribir en unnte diferente#ecifica la e)actitud del inicio de sesi'nha y horantrola un nNmero de segundos hasta (ue unaario inacti%o se registra autom>ticamenteraon6update logon time-op 6 gui auto logoutta de veri!icación para el usuario Protección , Administración de Grupoauditores deben %erificar lo siguiente cuando se asegura de usuarios y grupos

ministraci'nR

ice el Sistema de nformaci'n de Usuario a in%estigar todas las cuestiones relacionadas conceso de usuario especBfico#ntar el uso de la segregaci'n de funciones en el informe del usuarioormaci'n del sistema#u empresa es la seguridad descentralizada, y garantizar la adecuadaetos de autorizaci'n correcta ejecuci'n de la polBtica de la empresa#

%ise los ajustes de los par>metros de perfil para asegurar la configuraci'n de cumplir Btica de la empresa#gNrese de (ue los 4 de usuario de SAP pre%istas estOn debidamente protegidos#tas de auditor)a de la in!ormación del men del sistemaontinuaci'n se enumeran las rutas de los menNs del Sistema de nformaci'n de AuditorBa (ueplican a los temas de esta lecci'nRa elloRice S$ ? rastro de las mismas#ice esta ruta de menNRema de AuditorBa→ 9egistros del sistemauestra el estado→ 0special

baciones→ Sistema de seguimientousuarios y las autorizaciones de auditorBa

*os usuarios del sistema de informaci'n yautorizacionesusuarios y las autorizaciones de auditorBa→usuarios (ue est>n autorizadosice la informaci'n de informesema para responder a preguntas, depurar nalizar la seguridad#

izan %ariaciones de la mismarmar a los usuarios encontrar con concretoautorizaciones#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950a elloRmprobar el par>metro de instancia paraerminar si el inicio de sesi'n con ^ SAP esmitido#gNrese de (ue las contraseDas de SAP proporcionanusuarios se han cambiado#niones en las (ue los par>metros del sistemacta a las normas de inicio de sesi'n#

%ise las entradas de la tabla US9< #ice esta ruta de menNRusuarios y las autorizaciones de auditorBa→enticaci'n→ Usuario 0special→>metros del perfil de usuario especialP ^usuarios y las autorizaciones de auditorBa→enticaci'n→ Usuario 0special→

mpruebe contraseDas de usuarios especialesusuarios y las autorizaciones de auditorBa

Autenticaci'n→ 9egla de inicio de sesi'n>metrosusuarios y las autorizaciones de auditorBa→enticaci'n→ ContraseDas no %>lidascubre documentaci'n y corriente Sistema de AuditorBa→ Sistema%alores de los par>metros del sistema (ueConfiguraci'n→ Par>metros→cta a las normas de inicio de sesi'n#Par>metros del sistema con los documentos de la43 S/* /, Todos los derechos reser1ados03




6ercicio ?( Asegurar usuario , de grupodministraciónaci'n del ejercicioR minutos

6etivos del e6erciciopuOs de completar este ejercicio, usted ser> capaz deRescribir las opciones para informar a los usuarios, an>lisis y depuraci'nproblemasemplo de <mpresased es nue%o en una empresa (ue ya ha instalado una soluci'n de SAP#ed desea re%isar las normas y polBticas establecidas respecto usuario

ministraci'n, la separaci'n de funciones, y de inicio de sesi'n par>metros# $ambiOnre tener una idea general de c'mo la seguridad se implement' para el finalarios# Si (uieres %er la gama media de acceso de un usuario final#os del sistemaemaR gual (ue la clase#

enteR gual (ue la clasede usuarioRPara hacer estos ejercicios, el usuario debe estar conectado

mo el usuario auditorBa (ue cre' anteriormente en el curso - "9P T T-AU4 $# 0llosusca a los usuarios de su grupo, = A4 "9P-T T, T T @9A4 "9P-,

FSA4 "9P-T T#ntraseDaR gual (ue la clase#

ablecer instruccionesRhay ninguna disposici'n re(uerida para este curso#ea 'erminar si los usuarios se administran de forma centralizada o regional#

uO objetos de autorizaci'n se puede e)aminar para determinar si la seguridadministrado de forma centralizada o regional#

e la respuesta correcta sQ#

US09 "9P$C4 "9PUS09 A"9 US09 A44ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados

5




ice las funciones de informe objeto de autorizaci'n elija *os usuarios y losautorizaciones de AuditorBa→ *os usuarios del sistema de informaci'n y autorizaciones

9oles → 9oles por objeto la autorizaci'nQ para determinar la seguridaddministraci'n se lle%a a cabo# Utilice el objeto de autorizaci'nUS09 "9P como punto de partida para el an>lisis#a saber cu>l de sus roles $ A4 ; T T ^Q tienen acceso aeto de autorizaci'n S US09 "9P#

ermine lo (ue el acceso de S US09 "9P se incluye en

A4 ; T T SFS$0 A4 &#uO significa este %alor de autorizaci'n probablemente significaWntinNa en la p>gina siguiente?3 S/* /, Todos los derechos reser1ados03




uO otro objeto de autorizaci'n podrBa re%isar para guiar ellisis de c'mo la seguridad se gestionaWea *compaDBa ha decidido separar el administrador de usuario de la funci'n

ministrador# $ienes (ue %enir con sugerencias sobre c'mo la seguridaden ser implementados para apoyar la separaci'n de funciones#aR 9ealice los siguientes supuestos de este escenario de negociosR

empresa cuenta con usuarios en diferentes >reas en todo el mundo

mOrica del &orte, AmOrica del Sur, 0uropa, AustraliaQ# *ae mundial de la compaDBa reside en Australia#e(uipo de administraci'n del sistema es el responsable de crear ciones (ue se utilizar>n a ni%el mundial, este e(uipo se encuentra entralia#

da lugar tiene una administraci'n de usuarios, lo (ue crea usuarioss asigna roles# *os usuarios est>n di%ididos en la

uientes gruposR &A AmOrica del &orte, SA AmOrica del Sur,9 0uropa y Australia AUS #em>s, cada lugar tiene un administrador papel (ue puedenar funciones sobre una base limitada# *os nombres de funciones deben empezar lo?+t*o/ ,ole/+me. *as funciones no pueden incluir los recursos humanosgos de transacci'n PA ^QV adem>s, las funciones no pueden incluir c'digos de transacci'n del sistema S ^Q#empleados de "lobal mesa de ayuda puede restablecer las contraseDas de los usuarios

cual(uier ubicaci'n#

ice este escenario para trazar los objetos de autorizaci'n y los %alores (ueo recomendarBa a implementar este escenario#ea /ga en cuenta la configuraci'n de los relacionados con la seguridad de inicio de sesi'n-par>metros#

me los siguientes par>metros de perfil y decidir c'mo lo harBaomendamos (ue se crear># Si necesita in%estigar el uso par>metrosocumentaci'n (ue se encuentra en Sistema de AuditorBa→ Configuraci'n del sistema→>metros→ Par>metros del sistema con la documentaci'n#ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados

@



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950io 6 min pass+ord lettersio 6 min pass+ord lngio 6 fails to user loc io 6 failed user auto unloc io 6 pass+ord e)piration time

gir *as autorizaciones de usuario y AuditorBa→ Autenticaci'n→ 9egla de inicio de sesi'n>metros para re%isar los ajustes actuales#33 S/* /, Todos los derechos reser1ados03




olución ?( Asegurar usuario , de grupodministraciónea 'erminar si los usuarios se administran de forma centralizada o regional#

uO objetos de autorizaci'n se puede e)aminar para determinar si la seguridadministrado de forma centralizada o regional#puestaR A, CUS09 "9P determina por lo (ue los usuarios grupos de usuarios pueden ser manejados#

US09 "9P tambiOn protege la cesi'n de roles a los usuarios#US09 A"9 protege las acti%idades de mantenimiento de rol#

ice las funciones de informe objeto de autorizaci'n elija *os usuarios y losautorizaciones de AuditorBa→ *os usuarios del sistema de informaci'n y autorizaciones

9oles → 9oles por objeto la autorizaci'nQ para determinar la seguridaddministraci'n se lle%a a cabo# Utilice el objeto de autorizaci'nUS09 "9P como punto de partida para el an>lisis#a saber cu>l de sus roles $ A4 ; T T ^Q tienen acceso aeto de autorizaci'n S US09 "9P#

gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'nutorizaciones→ 9oles → 9oles de objeto de autorizaci'n#gir 0ditar→ $odas las selecciones# 0sto proporciona m>s campos a utilizar comoada para la ejecuci'n del programa#

rar T ADM23 # # 4 en la Papel campo#rar " U"ER GRP en la 5bjeto campo#cute el informe seleccionando Programa→ 0jecutar#apel con el acceso a S US09 "9P es $ A4 ; T T SFS-A4 &#

ermine lo (ue el acceso de S US09 "9P se incluye enA4 ; T T SFS$0 A4 &#ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados

9



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950uO significa este %alor de autorizaci'n probablemente significaW

a pantalla (ue muestra la salida de la primera etapa,er de relie%e el papel, $ A4 ; T T SFS$0 A4 &, y elegir fil asignaci'n#ga clic en el ostrar detalles icono

Q, 3us(ue el object4rill autorizaci'n en el perfil US09 "9P# Perforar en el objeto de autorizaci'n para %er elores de autorizaci'n#ed debe %er (ue la Acti%idad campo contiene! CrearQ yrupo de usuarios campo tiene un asterisco ^Q#ido a (ue el acceso permite la administraci'n de usuarios para todos los usuariospos, m>s (ue probable (ue la seguridad se maneja de forma centralizada#uO otro objeto de autorizaci'n podrBa re%isar para guiar ellisis de c'mo la seguridad se gestionaWpuestaR 0l objeto de autorizaci'n S US09 A"9 proporcionarBaunas pistas# Si obser%a los %alores de la Papel nombre campo de este objeto,

seguridad es probablemente descentralizado# Sin embargo, si un grupo selectoa gente puede hacer cual(uier cosa a cual(uier papel, la acti%idad es probable (uetralizada#





M950ión( <l usuario Protección , Administración de Grupoea *compaDBa ha decidido separar el administrador de usuario de la funci'n

ministrador# $ienes (ue %enir con sugerencias sobre c'mo la seguridaden ser implementados para apoyar la separaci'n de funciones#aR 9ealice los siguientes supuestos de este escenario de negociosR

empresa cuenta con usuarios en diferentes >reas en todo el mundomOrica del &orte, AmOrica del Sur, 0uropa, AustraliaQ# *ae mundial de la compaDBa reside en Australia#e(uipo de administraci'n del sistema es el responsable de crear

ciones (ue se utilizar>n a ni%el mundial, este e(uipo se encuentra entralia#da lugar tiene una administraci'n de usuarios, lo (ue crea usuarioss asigna roles# *os usuarios est>n di%ididos en la

uientes gruposR &A AmOrica del &orte, SA AmOrica del Sur,9 0uropa y Australia AUS #em>s, cada lugar tiene un administrador papel (ue puedenar funciones sobre una base limitada# *os nombres de funciones deben empezar lo?+t*o/ ,ole/+me. *as funciones no pueden incluir los recursos humanosgos de transacci'n PA ^QV adem>s, las funciones no pueden incluir c'digos de transacci'n del sistema S ^Q#empleados de "lobal mesa de ayuda puede restablecer las contraseDas de los usuarios

cual(uier ubicaci'n#





ice este escenario para trazar los objetos de autorizaci'n y los %alores (ueo recomendarBa a implementar este escenario#

a manera de implementar este escenario serBa con autorizaci'netos S US09 "9P, S US09 A"9, S US09 $C4#

US09 "9P se utilizar> para implementar (uiOn puede hacer (uOa distintos grupos de usuarios# Por lo menos cuatro grupos de usuarios debenre' para AmOrica del &orte, AmOrica del Sur, 0uropa,ustralia#endiendo de la forma en (ue los administradores deben usuarios mismos ser controlados, es posible (ue necesite otropo de usuarios para los administradores de usuario, por ejemplo, el usuariorAdmin grupo# *os administradores de usuario tendr> lasiguientes acti%idadesR

administradores de usuario tendr> la mayorBa de las acti%idades de los usuariosu grupo# $endr>n acti%idad 22 para asignar funcioness usuarios#dministrador local deber> S US09 A"9# 0l %alor a las acti%idades puede ser bastante amplio, pero los %alores para el&ombre campo debe limitarse a lau@*?+?* / nombrando%enci'n (ue se crea#

ea /ga en cuenta la configuraci'n de los relacionados con la seguridad de inicio de sesi'n-par>metros#

me los siguientes par>metros de perfil y decidir c'mo lo harBaomendamos (ue se crear># Si necesita in%estigar el uso par>metrosocumentaci'n (ue se encuentra en Sistema de AuditorBa→ Configuraci'n del sistema→>metros→ Par>metros del sistema con la documentaci'n#io 6 min pass+ord lettersio 6 min pass+ord lngio 6 fails to user loc io 6 failed user auto unloc





men de la unidadM950





al e su conocimientou>l de los objetos de autorizaci'n proteger ejecuci'n el c'digo de transacci'nWe la respuesta correcta sQ#

$C540$C540C540C540P recomienda (ue cada informe personalizado y cada programa personalizador %inculado a un c'digo de transacci'n personalizado#rminar si esta afirmaci'n es cierta o falsa#daderoso

P95"9A es un objeto de autorizaci'n (ue protege programacuci'n#rminar si esta afirmaci'n es cierta o falsa#daderosoCSAU$@ 9SCSAU$@es un programa (ue asigna autorizaci'npos a los programas A3AP#e los espacios en blanco para completar la frase#

ed debe tener cuidado con el objeto de autorizaci'n4080*5P S 4080*5P ya (ue puede ser posible (ue alguien introduzcado de depuraci'n en la producci'n#

e los espacios en blanco para completar la frase#

a %ez (ue un usuario se cambia, no hay manera de saber (uiOn cambi' el usuario#rminar si esta afirmaci'n es cierta o falsa#daderoso033 S/* /, Todos los derechos reser1ados

@




Autorizaci'n de grupo campo se utiliza s'lo para la protecci'n de informes yas#rminar si esta afirmaci'n es cierta o falsa#daderoso

u>l de los siguientes son los registros (ue e)isten en un sistema SAP# >suna respuesta es correctaQ#e la respuesta correcta sQ#

=lo+ registrosistros de aplicaci'n

mbie los registros de documentosuario y los registros de autorizaci'n de cambio deguna de las anteriores

2< debe configurarse antes de implementar cual(uier funci'n#rminar si esta afirmaci'n es cierta o falsa#dadero

soSU2< re(uiere cambios de programaci'n para hacer (ue los %alores por defecto ocurrir#rminar si esta afirmaci'n es cierta o falsa#daderoso*os par>metros de inicio de sesi'n siguientes se pueden utilizar para asegurarse de (ue su sistema es

uficientemente protegido#e la respuesta correcta sQ#

io 6 fails to user loc io 6 min pass+ord specialsio 6 min pass+ord diff io 6 named super user





spuestasu>l de los objetos de autorizaci'n proteger ejecuci'n el c'digo de transacci'nWpuestaR A, 3, C$C540 se utiliza en todos los m'dulos de SAPV P $C540 se utiliza en @9VC540 se utiliza en la gesti'n de la calidad#

P recomienda (ue cada informe personalizado y cada programa personalizador %inculado a un c'digo de transacci'n personalizado#

puestaR 8erdaderoiante la creaci'n de un c'digo de transacci'n para su programa personalizado, aDadir unorizaci'n adicional comprobar por S $C540#

P95"9A es un objeto de autorizaci'n (ue protege programacuci'n#puestaR 8erdaderoP95"9A determina si se puede presentar programas# Adem>s,ay un grupo de autorizaci'n relacionado con el programa, S P95"9Aantiza (ue el usuario tenga acceso a ese grupo de autorizaci'n#

CSAU$@ es un programa (ue asigna grupos de autorizaci'n para A3APgramas#puestaR 9SCSAU$@

CSAU$@ se puede utilizar para asignar a grupos de autorizaci'nrmes 6 programas (ue no tienen grupos de autorizaci'n asignado#

ed debe tener cuidado con el objeto de autorizaci'n S 4080*5Pido a (ue puede permitir a alguien para entrar en modo 403U" en la producci'n#puestaR S 4080*5P4080*5P es un objeto de autorizaci'n crBtico (ue permite el acceso a todosciones A3AP, incluyendo las funciones de depuraci'n#033 S/* /, Todos los derechos reser1ados




a %ez (ue un usuario se cambia, no hay manera de saber (uiOn cambi' el usuario#puestaR =alsoP registros de documentos de modificaci'n para los cambios a los usuarios, autorizaciones,erfiles#

Autorizaci'n de grupo campo se utiliza s'lo para la protecci'n de informes yas#puestaR =alsoAutorizaci'n de grupo campo se utiliza en muchas >reas de aplicaci'n en SAP#

u>l de los siguientes son los registros (ue e)isten en un sistema SAP# >suna respuesta es correctaQ#puestaR A, 3, C, 4y muchos registros en un sistema SAP# Cada troncos sir%e una especBficaa#

2< debe configurarse antes de implementar cual(uier funci'n#puestaR =also2< es una caracterBstica opcional (ue permite al administrador de seguridador definir %alores por defecto para la herramienta de mantenimiento de papel#SU2< re(uiere cambios de programaci'n para hacer (ue los %alores por defecto ocurrir#

puestaR =also2< se puede actualizar directamente# Sin embargo, si se agrega una autorizaci'neto en SU2<, no agregue la instrucci'n comprobaci'n de autorizaci'nel c'digo# Usted necesita a alguien para insertar el adicionalorizaci'n de comprobaci'n de estado de cuenta en el programa correspondiente#03 S/* /, Todos los derechos reser1ados03




*os par>metros de inicio de sesi'n siguientes se pueden utilizar para asegurarse de (ue su sistema esuficientemente protegido#puestaR A, 3, Cio 6 fails to user loc Se utiliza para controlar el nNmero de %eces (ue un usuariode intentar iniciar la sesi'n hasta (ue estOn blo(ueados# inicio 6 min pass+ord specialstiliza para controlar el nNmero de caracteres de la contraseDa debe ser

acteres especiales# inicio 6 min pass+ord diff se utiliza para controlar Nmero de caracteres de la nue%a contraseDa debe diferir de la anterior traseDa#033 S/* /, Todos los derechos reser1ados



dad /( +a protección de los sistemas a trav s de &suario1 unción , mantenimiento de Autori2aciónM950*3 S/* /, Todos los derechos reser1ados03



&nidad 4oteger los sistemas de producción

esta unidad se discuten sal%aguardias especBficas para los sistemas de producci'n, deesti'n del cambio a las funciones de administraci'n del sistema#

idad de In!ormación generalesta unidad, nuestro trabajo se centrar> en los ser%icios del sistema en producci'n# *o haremosentran en la importancia de garantizar el proceso de gesti'n del cambio,autorizaciones crBticos para un entorno de producci'n, y el sistemafunciones de administraci'n (ue deben ser cuidadosamente %igilados en una producci'nbiente#6etivos de la &nidadpuOs de completar esta unidad, usted ser> capaz deR

cribir el paisaje de gesti'n de cambios, procedimientos y herramientasproteger sus sistemas de producci'n de autorizado o no probado

mbiar ntificar los sistemas asegurados y clientes contra autorizado o no probado

mbiar uema de los beneficios de un sistema de autorizaci'n y de control de calidad de control de laraci'n de los cambios en la producci'n

mostrar c'mo asegurar el proceso de fondocuta la seguridad de carrete y el proceso de impresi'ncribir la forma de asegurar de forma efecti%a el acceso al sistema operati%ontificar las necesidades de seguridad para las descargas de escritorio y archi%o de programa

entrada 6 salidauctura de los re(uisitos de seguridad para interfaces de comunicaci'n




dad 4( Seguridad de los Sistemas de ProducciónM950ntenidos de la unidadción: ,estión del Ca%bio 4 Seguridad 22&e%ostración: bser1e la con7iguración de a+robación Q/ 233e%ostración: 5ire ob eto de autori8ación SACTSA/D5I 233e%ostración: De%ostrar SE0' las o+ciones de los clientes ca%bian 4tas de trans+orte del /IS 23) e%ostración: 5ire SAT?/#S*?T 2<2e%ostración: de%ostrar el ins+ector de código 2<'ercicio ): ,estión del Ca%bio 4 Seguridad 2<;

ción: *rotección de ser1icios de ad%inistración del siste%a de +roducción

e%as 2&'e%ostración: 9tilice los /IS a la in1estigación de los ob etos de autori8ación utili8ados +araaba os en segundo +lano 2')e%ostración: aga una +rueba con SABTC A#/5 el uso de /IS a la in1estigaciónu6 ID de usuario se est>n utili8ando +ara el +roceso de 7ondo 2'-e%ostración: bser1e el S/*ABCAB/TC A/D5I# +a+el 2';ocedi%iento: De7inición de usuarios +ara el +rocesa%iento en segundo +lano 2)0ocedi%iento: =as autori8aciones se utili8an en +roceso de 7ondo 2)(e%ostración: De%ostrar la b$sGueda de todos los Gue +uedan 1er carreteeticiones de todos los usuarios 2)<e%ostración: =ooH at S/* +ro+orcionó +a+el S/*ABCAS* =A/D# 2)&e%ostración: 5ire destinos ?FC 4 SA?FC 2-)e%ostración: 5ire +lantilla S/*A9SE?AB 2;0ercicio -: Seguridad de los Siste%as de *roducción 2;3




M950ión( Gestión del Cam$io , Seguridad

cción( Gestión del Cam$io , Seguridadaci'n de la claseR 7 minutoss;ue6o de la leccióna lecci'n opiniones gesti'n del cambio desde una perspecti%a de seguridad# *ombiOn discute los controles (ue deben estar en su lugar antes de soltar los cambios enducci'n#


cribir el paisaje de gesti'n de cambios, procedimientos y herramientasproteger sus sistemas de producci'n de autorizado o no probado

mbiar ntificar los sistemas asegurados y clientes contra autorizado o no probado

mbiar uema de los beneficios de un sistema de autorizaci'n y de control de calidad de control de laraci'n de los cambios en la producci'n

este supuesto, tenemos un sistema empresarial# &o tenemos unasporte entorno habilitado# Sin embargo, los estudiantes toda%Ba pueden re%isar loen estar en su lugar#emplo de <mpresasema de seguridad incluye la garantBa de (ue la producci'n es segura yue siendo seguro como cambios se mue%en de un desarrollo

dio ambiente en un entorno de producci'n# Configuraci'n ymbios de personalizaci'n (ue trabajan con la guBa de implementaci'nQ ymbios en la programaci'n son partes importantes de cual(uier implementaci'n de SAP#a sola declaraci'n idioma incorrecto en un nue%o programa, ya sea colocadoB por accidente o por intenci'n, puede causar la pOrdida de datos irrecuperable en unema de producci'n# Usted es responsable de informar sobre la seguridad del sistema comose refiere a la gesti'n del cambio cuidadoso en sus sistemas#Plan de tra$a6o para esta leccióna lecci'n cubre lo (ue usted debe buscar cuando se realiza un sistema deitorBaR03




dad 4( Seguridad de los Sistemas de ProducciónM950

a ruta de migraci'n desde el desarrollo hasta la producci'n adecuadategidosWos controles (ue administran c'mo los cambios mo%erse de desarrolloproducci'n adecuadaW

uO es la rendici'n de cuentas por los cambios en la producci'n (ue tienen uncto ad%erso en el sistemaWminos de men en el Sistema de In!ormación de Auditor)aas las sendas de menN utilizados en el Sistema de nformaci'n de AuditorBa A SQ se enumerannal de esta lecci'n# 8amos a utilizar las rutas de los menNs siguientes en A S paralecci'nR

ema de AuditorBa→ Configuraci'n del sistema→ Sistema 5perati%o→ ostrar P 4irectoriosema de AuditorBa→ SAP System "roup→ . . .ema de AuditorBa→ 4esarrollo 6 Personalizaci'n→ Programas A3AP→grama de An>lisis 0stadBsticoautorizaciones de usuario y AuditorBa→ nformaci'n del usuario del sistema y

autorizaciones→ *as autorizaciones→ *as autorizaciones por objetoP S,stem +andscapea proteger su sistema de producci'n de cambios no deseados o incorrecta,ecomienda tener especial cuidado en separar su desarrolloema de su sistema de producci'n# 4efinir polBticas y procedimientosa hacer cambios y transportarlos a su sistema de producci'n#ite hacer cambios en su sistema de producci'nYo (ue respecta a su infraestructura de sistemas, proponemos un sistema de tres ni%elesaje (ue consiste en el desarrollo independiente, control de calidad,stemas de producci'n# *os tres sistemas comparten un comNn de transportesctorio# Con esta configuraci'n, (ue bien puede hacer y probar los cambiosinterferir con las operaciones de producci'n# *a figura muestrastro recomendado sistema de tres ni%eles de paisaje#

?3 S/* /, Todos los derechos reser1ados03




ura 59( Se recomienda tres niveles Paisa6e Sistemasistema de tres niveles Paisa6en la infraestructura de sistemas de tres ni%eles, se hace todos los cambios aistema para incluir Personalizaci'nQ en un sistema de desarrollo separado#ed e)portar estos cambios en un directorio comNn de transportes# A continuaci'n,ortar estos cambios en un control de calidad 1AQ del sistema donde se puede

n ponerlos a prueba# Una %ez (ue estO satisfecho de (ue los cambios son seguros, ustedonces puede importarlos desde el directorio de transporte comNn en suema de producci'n#aisaje sistema de tres ni%eles ofrece estas %entajas de seguridadR

asegura de (ue los cambios tienen lugar en un solo lugar, es decir,istema de desarrollo#desarrolladores no tienen acceso a los datos de producci'n#

ed puede probar a fondo los cambios en un sistema de control de calidad independiente antes de (ue> efecti%o en su sistema de producci'n#ed controla el momento en el (ue los cambios surtan efecto en laema de producci'n#ed puede reducir los cambios accidentales o no autorizados para la producci'nos mediante el control de cu>ndo, de (uiOn y de (uO sistemassferencias tienen lugar#033 S/* /, Todos los derechos reser1ados

@




ed puede mantener un registro de los cambios de trazado o de auditorBa prop'sitos#aR Si descubre errores en el sistema de control de calidad (ue se traducen en laesidad de realizar m>s cambios, SAP recomienda (ue usted tome la

mbios en el sistema de desarrollo e importarlos de nue%o enistema de control de calidad#se ol%ide (ue en un entorno de desarrollo, los usuarios en general,

er m>s acceso# Usted debe enmascarar los datos sensibles (ue se carga en unorno de desarrollo por ejemplo, datos de los empleados de su legadoemaQ#cuanto a las dos listas con %iDetas a continuaci'nR *a primera es de s'lo lectura - seaparecen en la presentaci'n# *a segunda lista s'lo aparecer>n impresos#egunda lista da los detalles de la lista mostrada#directorio com n de transportesa almacenar los archi%os de datos entre los medios de transporte, se debe utilizar el comNnsportar directorio como se muestra en la figura anterior# *os tres sistemasice este directorio para todas las e)portaciones e importaciones# $odos los transportes debe ejecutar re este directorio#

ctorio de transporte debe ser compartido en un entorno seguroel administrador del sistema puede ejecutar importacionesdatos deben ser archi%ados regularmente

da sistema SAP puede tener su propio paisaje SAP 9 6 ! 0nterprise,P 3/, SAP C9 Qdirectorio de transporte separado puede ser utilizado para la producci'na proteger la integridad, %alidez y consistencia de los datos (uesportados, considere los siguientes puntosR

irectorio comNn de transportes en general montado mediante &=Sntaje U& :Q o recurso compartido de /indo+s &$# Para e%itar el mal uso, colo(ue losemas (ue comparten el directorio de transporte en una *A& segura separado#el administrador del sistema debe ser capaz de ejecutar las importaciones#hi%o de los datos en los directorios de transporte para (ue pueda re%isar

acti%idades de transporte si es necesario#iene %arios sistemas SAP, separarlos en forma l'gicaajes diferenciados del sistema#





tiliza el Sistema de "esti'n de $ransporte $ SQ, se puede utilizar unsporte directorio independiente para el sistema de producci'n en lugar deirectorio comNn de transportes# Si se considera esta opci'n, tomar siguientes puntos en cuentaR

ed aumenta la seguridad al hacer m>s difBcil para los no autorizadosonas para importar datos en el sistema de producci'n#ed debe iniciar e)plBcitamente el transporte en la producci'nema# 0l usuario (ue inicia el transporte debe contar con sistemaorizaciones de transporte de administraci'n superusuarioQ#no recibir> los %alores de retorno o troncos en la e)portaci'nema#em>s, tambiOn hay (ue copiar todos los archi%os de transporte de

mpatible con pa(uetes en ambos directorios de transporte#

o de la Calidad :MS Assurance Procedimiento de Apro$acióne haber algNn tipo de proceso formal para asegurar (ue todos los cambiosa la producci'n han sido a tra%Os de un procedimiento de aprobaci'n#

unas empresas han desarrollado sus propios procedimientos de aprobaci'n# SAPmbiOn ofrece una soluci'n para los procedimientos de aprobaci'nR a aprobaci'n $ S 1Acedimiento para asegurarse de (ue s'lo las solicitudes aprobadas se transportan enistema de producci'n#

ura ?0( Procedimiento de Apro$ación :MS Acripción general del procedimiento de apro$ación de control de calidadguramiento de la Calidad $ S aumenta la calidad y la disponibilidad de laemas de producci'n, ya (ue permite comprobar las solicitudes en el sistema de control de calidad antes dese entregan a los sistemas posteriores#033 S/* /, Todos los derechos reser1ados

9



dad 4( Seguridad de los Sistemas de ProducciónM950a utilizar esta funci'n, el administrador del sistema debe acti%ar la aprobaci'n de control de calidadcedimiento en su Sistema de control de calidad# Cuando se acti%a, solicitudes de transporte est>nitida a los sistemas de entrega s'lo si todos los pasos de aprobaci'n de control de calidad soncesados para cada pedido en el sistema de control de calidad y cada solicitud ha sidoobado# Cuando se configura el sistema de control de calidad, se determina cu>ntosidas de control de calidad de aprobaci'n tienen (ue ser procesados en cada petici'n#Q Si un che(ue por unao de aprobaci'n no se realiza correctamente, la solicitud no puede ser aprobada#aR Peticiones rechazadas son no importado en los sistemas de entregasistema de control de calidad#cauci'nR Si rechazar peticiones, e)iste el riesgo de (ue los errores pueden ocurrir ndo se importen en los sistemas de suministro# 0ste es un resultadoas solicitudes (ue contengan objetos (ue hacen referencia a otrosciones# 0s m>s seguro para corregir un error con un transporte posterior#y una demo al final de esta unidad para mostrar (ue la homologaci'n de control de calidadcedimiento se establezca# 0l sistema (ue est> en no permitir (ue los transportes, perod puede demostrar (ue esto se establezca# 9ecuerde (ue este supuesto no se trata deo configurar, sino m>s bien la %entaja de auditorBa 6 seguridad de la utilizaci'n de la garantBa de la calidadcedimiento de aprobaci'n, o algNn tipo de procedimiento# Usted no ser> capaz de establecer rocedimiento de aprobaci'n de control de calidad debido a nuestro entorno de sistema, sin embargo,d puede mostrar c'mo se %erBa#

ura ?'( Con!iguración de Procedimiento de Apro$ación de control de calidad




M950ión( Gestión del Cam$io , Seguridadice la transacci'n S$ S para %er si el procedimiento de aprobaci'n de control de calidad se ha establecidoba# Para acceder a esta operaci'n del Sistema de nformaci'n de AuditorBa, elijaema de AuditorBa→ SAP System "roup→ $ransport anagement System $ SQ

8ista general del sistema# A continuaci'n, elija "oto→ $ransporte de dominio o haga clic en el sombrerono# A continuaci'n usted %er> la Procedimiento de Aprobaci'n de control de calidad tab#inición de pasos de apro$acióna utilizar el procedimiento de aprobaci'n de control de calidad, uno de los sistemas deben ser definidos comoistema de "arantBa de Calidad# 0n este sistema, se determina la aprobaci'ndidas necesarias, con la opci'n de acti%ar el paso encendido o apagado# Por ejemplo,aprobaciones por defecto est>n configurados de la siguiente maneraR

obaci'n por el propietario solicitud se establece en inacti%oobaci'n por el usuario departamento se establece en inacti%oobaci'n por el administrador del sistema se establece como acti%a

ura ?*( Biveles de apro$ación para reali2ar el procedimiento de apro$ación de control de calidad%eles de aprobaci'n est>n %inculados a los indi%iduos sobre la base de las autorizaciones# Ar>n participar en uno de los pasos de aprobaci'n solicitud dueDo, el usuarioartamento o administrador del sistemaQ, el acceso a una autorizaci'n especBfica deber>concedida# 0ste acceso se detalla en la tabla siguiente#033 S/* /, Todos los derechos reser1ados



dad 4( Seguridad de los Sistemas de ProducciónM950obaci'n Pasoobado por solicitudpietarioectoadocti%oe(uiere autorizaci'nse re(uiere autorizaci'n especial parapropias solicitudes debido a (ue el che(ueace en contra de su 4 de usuario# Paras peticionesR

eto de autorizaci'n re(ueridoRC$S A4mpoR C$S A4 =C$orRTADMy T A"obado por usuarioartamentocti%o

eto de autorizaci'n re(ueridoRC$S A4mpoR C$S A4 =C$orR TEA o TADMy T A"obado por el sistema

ministrador i%oeto de autorizaci'n re(ueridoRC$S A4mpoR C$S A4 =C$orRTADMy T A"a aprobar la solicitud, el usuario debe iniciar S$ S transacci'n#em>s, un flujo de trabajo, /SZ? \ - 0ditar 6 0jecutar Propuesta de $ransportes,uede utilizar para automatizar el proceso de transporte# 0n este flujo de trabajo se puededel cambio solicitud de autorizaci'n basado en el sistema de destino, el objeti%o

nte, y el nNmero de solicitud de cambio# Si usted decide utilizar este flujo de trabajo,olicitud de cambio ser> el camino a los usuarios de la bandeja de entrada para su aprobaci'n# Sin embargo, afigurar este flujo de trabajo, un poco de conocimiento sobre el flujo de trabajo es necesario#empresas (ue han sido en %i%o con el soft+are de SAP desde hace %arios aDos

tar con un procedimiento para la aprobaci'n de los cambios (ue se han mo%ido enducci'n# SAP no insiste en (ue todo el mundo utilice el procedimiento de aprobaci'nporcionada por SAP# Para las empresas (ue son nue%as en su aplicaci'n SAP,P recomienda (ue utilice nuestro procedimiento de aprobaci'n# Si una empresa estaba %i%oes de (ue el procedimiento de aprobaci'n se introdujo %ersi'n <#7) y anterioresQ,P no insiste en (ue cambien sus procedimientos de aprobaci'n#empresa puede optar por utilizar el procedimiento de control de calidad de SAP y la aprobaci'no de trabajo de propuestas de transporte, optar por utilizar uno de ellos, o elegir izar ninguno de los dos#





dependientemente del mOtodo utilizado para las homologaciones, es crBtico (ue las solicitudes seobado por algNn proceso formal antes de ser trasladado a la producci'n#

adelante en esta lecci'n hay una bre%e lista de algunos de los temas (ue usted puede ser (ue deseea re%isar antes de habilitar nue%os cambios (ue se pas' a la producci'n#mostración( -$serve la con!iguración de apro$ación de control de calidadpósitobjeti%o de esta demostraci'n es describir c'mo se puede %er si elcedimiento de aprobaci'n de control de calidad se ha creado# Como se indica en la nota instructor eriormente, esta clase no se enseDa en un sistema (ue est> configurado para el transporteVstro Nnico punto a(uB es mostrar c'mo los auditores pueden utilizar A S para %er si el

cedimiento de aprobaci'n de control de calidad se establezca#os del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioR"9P T T-AU4 $ntraseDaRmisma (ue la claseablecer instruccionesR&o se re(uiere configuraci'n especBfica para este usuario0legir Sistema de AuditorBa→ SAP System _ "rupo $ S → 8ista general del sistema#

gir "oto → $ransporte de dominio o haga clic en el icono del sombrero#ga clic en el Procedimiento de Aprobaci'n de control de calidad tab#

>s (ue hay un sistema de control de calidad ha sido definida# $ambiOn pueder los pasos de aprobaci'n# $enga en cuenta (ue los pasos de aprobaci'n est>n %inculados aautorizaciones# Cual(uier persona (ue disponga de la autorizaci'n (ue pueda cumplir obaci'n paso#

Dale si una empresa no est> utilizando nuestro procedimiento de aprobaci'n de control de calidad, see tener algNn tipo de procedimiento de aprobaci'n#

mostración( Mire o$6eto de autori2aciónC:SHADMIpósitobjeti%o de esta demostraci'n es in%estigar S C$S A4 y discernir (uiOne acceso a este objeto con la autorizaci'n para aprobar las solicitudes de cambio#os del sistemaemaRma (ue la clase033 S/* /, Todos los derechos reser1ados



dad 4( Seguridad de los Sistemas de ProducciónM950enteRmisma (ue la clasede usuarioR"9P T T-AU4 $ntraseDaRmisma (ue la claseablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para estanifestaci'n#

ira el objeto de autorizaci'n y lea la documentaci'nbajo *as autorizaciones de usuario y AuditorBa→ *os usuarios del sistema de informaci'n y*as autorizaciones→ 5bjetos de autorizaci'n→ 0n nombre del objeto#

rar " $T" ADMI luego %er la documentaci'n#a %er (ue todo tiene acceso a este objeto, elija Usuarios→ Por ores de autorizaci'n#eccione $54AS *AS S0*0CC 5&0S a continuaci'n, introduzca4 GRP-# # en la Usuario campo# 0ntrar T" ADMI como el objeto yTADMcomo el %alor#

uario SFSA4 "9P-T T y T T = A4 "9P-deben ser los Nnicosn este acceso#n!iguración del entorno del sistema para los cam$iosconfigurar su sistema SAP, el administrador del sistema debefigurar %arios ajustes importantesR

te sistema permite (ue ocurran cambiosW Si es asB, X(uO tipo de cambiosWaR *os sistemas de producci'n normalmente no permiten cambios#

tro de cada sistema, Xel cliente permiten (ue los cambios se producenW Si es asB,uO tipo de cambiosWe d'nde %iene el trabajo de configuraci'n y desarrollo de conseguir hacer y c'mo

mo se mue%e de un sistema a otro transporte C'mo llegarQWed puede utilizar el Sistema de nformaci'n de AuditorBa para %erificar (ue cada uno de estosfiguraci'n est> configurado adecuadamente#mprue$e las opciones de cam$io de sistemambios en el sistema debe permitir el desarrollo de sistemas solamente# 4esde unspecti%a de la auditorBa, usted (uiere asegurarse de (ue todos los sistemas e)cepto desarrollo

stablecen enNo es mod* *?+@le # 4esde el Sistema de nformaci'n de AuditorBa, elijaema de AuditorBa→ SAP System "roup→ @erramientas de configuraci'n del sistema _ Cambiar opci'n#un sistema (ue no es el desarrollo de la Configuraci'n general campo debe establecerse enes mod* *?+@le.





ura ?/( -pciones del Sistema Cam$ioNo es mod* *?+@le ajuste es la primera manera de garantizar (ue no searrollo o configuraci'n "uBa de implementaci'nQ pueden ocurrir cambioseste sistema#mprue$e las opciones de cam$io del clienteas opciones de cambio de sistema se establece enMod* *?+@le7 es necesario comprobar laiones para los clientes# &o todos los clientes deben permitir (ue los cambios tengan lugar#un sistema de desarrollo, puede tener m>s de un cliente, sin embargo,

mbios en la configuraci'n y desarrollo normalmente se producen en un cliente#ura ?4( <6emplo de los cam$ios del cliente en un sistema de desarrollo033 S/* /, Todos los derechos reser1ados



dad 4( Seguridad de los Sistemas de ProducciónM950un sistema de desarrollo, puede tener tres clientesR un cliente sandbo),configuraci'n de cliente 6 desarrollo, y un cliente de la unidad ensayada# *os cambios puedenermitir> en el recinto de seguridad y los clientes de configuraci'n 6 desarrollo, perousuarios no deben tener la capacidad de hacer configuraci'n o desarrollo

mbios en un cliente de prueba#ura ?5( Cam$io de opciones del cliente para la con!iguración de sistemas cliente L Desarrolloun cliente (ue se utiliza para la configuraci'n "Q los cambios y el desarrollo,liente debe permitir (ue tanto los cambios (ue se produzcan con 9egistro autom>tico de

mbios y Cambios del repositorio y la cruz del cliente Personalizaci'n permitido#ura ??( Cam$io de opciones del cliente para Client :est &nita (ue un cliente donde se realiza las pruebas unitarias, no se debe permitir cambiosconfiguraci'n o el desarrollo#

a comprobar estos %alores, seleccione Sistema de AuditorBa→ SAP System "roup→ nstrumentos0stablezca la opci'n System Change# A continuaci'n, seleccione Ajuste Cliente# 4esde allB se puedea doble clic en cual(uier cliente para %er la configuraci'n del cliente#





mprue$e las rutas de transporte%Bas de transporte definir d'nde se realizan cambios, y c'mo los cambiosran a tra%Os de la infraestructura del sistema despuOs de (ue han sido liberados#de una perspecti%a de auditorBa hora de controlar las rutas de transporte, (ue acaba deremos asegurarnos de (ue los cambios se est>n mo%iendo en alguna parte a ensayar antes deas' a la producci'n# Como se dijo anteriormente, la recomendaci'n de SAPener un sistema de control de calidad, donde los cambios son probados#a %erificar las rutas de transporte, seleccione Sistema de AuditorBa→ SAP "roup Sistema _nsport anagement System $ SQ→ 4escripci'n general del sistema a continuaci'n, elijaio ambiente→ *as %Bas de transporte#

ed debe %er al menos tres sistemas a los cambios (ue pasan de unorno de desarrollo a un entorno de calidad y una producci'nbiente#mostración( Demostrar S<0?1 el cam$io del clienteciones , rutas de transporte de AISpósitobjeti%o de esta demostraci'n es mostrar c'mo %erificar el cambio de sistemaiones y las opciones de los clientes cambian de lado#os del sistemaemaRmismo como clase

enteRmismo como clasede usuarioRmismo como clasentraseDaRmismo como claseablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para estanifestaci'n#0legir Sistema de AuditorBa→ SAP System "roup _ @erramientas→ 0stablecer el sistema de cambioopci'n#

discutir el modificables y no modificables configuraci'n#el S A elegir Sistema de AuditorBa→ SAP System "roup _ @erramientas→ Ajuste el sistema

mbiar la opci'n de 0l selecto Ajuste Cliente#nsportesgeneral, las siguientes acti%idades indi%iduales est>n in%olucrados en el transporteos sistemas de SAPR

lte la solicitud de cambio de transportar en una transacci'n S0 ; S0? o#033 S/* /, Todos los derechos reser1ados

@




%ise los archi%os de registro para asegurarse de (ue la e)portaci'n se ha realizado correctamente# Siroducen errores, debe corregirlos antes de continuar#porte los objetos del sistema SAP en la base de datos del sistema de destino#

%ise los archi%os de registro creados por el 5rganizador /or bench#ga a prueba sus importaciones a fondo# Si se producen errores, reparar los objetos de la

nte del sistema y las %uel%e a e)portar en el sistema de control de calidad#erenciaR Puede acceder a los archi%os de registro utilizando el 5rganizador /or bench

n la jerar(uBa de solicitudQ#

sponsa$ilidades , sus correspondientess autori2acionesa (ue los cambios y transportes entre en %igor con O)ito en suema de producci'n, es necesario contar con una administraci'n bien organizadapo con roles y responsabilidades definidas# *os cambios en la producci'nema no debe ser responsabilidad de una sola persona# Usted debenir y documentar las funciones y acti%idades correspondientes# *ao de comunicaci'n entre los indi%iduos de estas funciones tambiOn deben ser n definido y practicado#os siguientes temas se discuten las responsabilidades (ue se aplican asporte y sus correspondientes autorizaciones de los sistemas SAP# *a

eles (ue discutimos a(uB son sugerencias basadas en la ar(uitectura deroceso como se define en los sistemas de SAP# 0s posible (ue tenga (ue ajustar onsecuencia aplicarlas a sus necesidades#es , Responsa$ilidades

ando se trabaja con los cambios (ue se desplazan desde el desarrollo hasta la producci'n,malmente hay %arias personas in%olucradas# &o podrBa ser la persona (ue creaolicitud de cambio y la liberaci'n de la solicitud y la %erificaci'n de los troncosQ, lasona probar el cambio en 1AS la persona (ue mue%e los cambios en laema de control de calidad y 6 o sistema de producci'n, y la persona (ue aprueba elcitud despuOs de la prueba#empresas organizan estos roles de trabajo diferente# Para algunas empresas,

chas personas se in%olucren en el camino desde el desarrollo hasta la producci'n, ens empresas, hay menos pasos# 4esde una perspecti%a de la auditorBa, noe ser por lo menos una persona (ue utiliza la solicitud de cambio y alguien m>sprueba la solicitud de cambio#iguiente lista muestra las posibles funciones# $radicionalmente, SAP tiene siempreiere (ue se distribuyen los roles entre las siguientes personasR




M950ión( Gestión del Cam$io , Seguridadmiembros del e(uipo son responsables de la liberaci'n de sus propias tareas en labench 5rganizer#

el lBder del proyecto es responsable de las siguientes tareas

nici'n y organizaci'n de un proyecto de gesti'n del cambio mediante petici'nficar el contenido de una solicitud de cambio antes de su liberaci'n, por

mplo, asegur>ndose de (ue los controles de sinta)is se han realizado paraos los objetosnfirmando el O)ito de la liberaci'n y la e)portaci'nficaci'n de (ue la solicitud de cambio se ha importado correctamente en elema de destinonfirmando (ue la solicitud de cambio importado contenBa la necesariaetos y funciones adecuadas

ransporte administrador es responsable de las tareas de transporte#o ella utiliza tp o $ S para acti%ar las importaciones de solicitud de cambio y %erificar

O)ito# 0l administrador de transporte no es responsable de las pruebasontenido de una solicitud de cambio#1uality Assurance 1AQ e(uipo prueba la funcionalidad y todantegraci'n de los componentes indi%iduales a partir de la solicitud de cambio en laema de control de calidad#has empresas no hacen diferencia entre el lBder del e(uipo y elBder del proyecto# Sin embargo, SAP recomienda (ue tenga al menos alguieniendo control de calidad antes de mo%er el cambio a la producci'n#has compaDBas tienen el desarrollador crear su propia solicitud de cambio yrar la solicitud de cambio# Adem>s de una comprobaci'n de control de calidad de0ste programa funciona correctamenteWE, 0s posible (ue tambiOn desee considerar la posibilidadtroles de seguridad para el trabajo de desarrollo antes de (ue se traslad' a la producci'n#ed debe incluir estas comprobaciones de seguridad antes de la migraci'n de un programa dearrollo a la producci'nR

ace programas personalizados para los c'digos de transacci'n personalizadas#

luya precios AU$59 4A4-declaraciones de todos los programas en los (ue lago de transacci'n personalizado no se considera suficiente protecci'n#gNrese de (ue los controles adecuados est>n en su lugar si este programa personalizado oci'n del m'duloQ tiene acceso a tablas crBticos, tales como documentos financierosatos de los empleados#ejemplo de d'nde se incluirBa AU$59 4A4-C@0C[ laraciones podrBan ser si la gente de diferentes di%isiones se ejecutar> elmo programa, pero con resultados diferentes# 0l programa personalizado puede ser (ue necesitedeclaraci'n AU$59 4A4-C@0C[ para la di%isi'n para asegurar la di%isi'n A hace

ejecutar el informe para la di%isi'n 3#033 S/* /, Todos los derechos reser1ados



dad 4( Seguridad de los Sistemas de ProducciónM950s autori2acionesP proporciona las autorizaciones para trabajar con los medios de transporte# *aorizaci'n y objetos S $9A&SP9$ S C$S A4 proteger m>sciones de trabajo con gesti'n del cambio#$9A&SP9$ es el objeto de autorizaci'n por el organizador del transporte# Unorizaci'n para S $9A&SP9$ es necesaria paraR

AP /or bench

sonalizaci'nanizador de $ransportedesarrolladores y programadores Personalizaci'n general deberBan tener un

orizaci'n para este objeto# *a autorizaci'n de %isualizaci'n es generalmenteciente para los administradores# *as funciones de administraci'n en el cambio y

a de transporte del sistema se comprueba mediante el objeto de autorizaci'n por separadoC$S A4 #eto de autorizaci'n S $9A&SP9$ contiene los siguientes camposR

o de solicitud Cambio y el sistema de transporteQi%idad%alores de campo Se permiten los siguientes S $9A&SP9$, $ipo de solicitud

ambio y el sistema de transporteQR

S$R Personalizaci'n de las solicitudesAR *as solicitudes de 3ancos de $rabajo

90ASR $areas reparaci'n o correcci'n0&$5R transportes 9eubicacion los tres tiposQ

A&R $ransportes de copias$CR Preliminares correcciones y entregas0CR *as listas de piezasCPR transportes clienteRRRRR

Regar o crear

mbiar trar (uear rar mbio en el editor de objetos de listalte

mbie cliente de origen de una solicitud%alores de campo Se permiten los siguientes S $9A&SP9$, Acti%idadR





RRR

portar rganizar lte otras solicitudes

grese solicitud en la propuesta de transportembio de propietarioiguiente tabla muestra las autorizaciones predefinidas en sistemas SAP (ueplican a las distintas funciones# 0stas autorizaciones dar alguna indicaci'n en cuanto ao SAP recomienda las autorizaciones para este objeto fundamental utilizar#el para S $9A&SP9$lity Assurance 1AQ e(uipoministrador transporte super usuarioQBder del proyectomiembros del e(uipo y los desarrolladoresusuarios finalesautorizacionespredefinido en los sistemas SAP

C$S A**C$S P95 0CC$S 4080*5C$S S@5/abla muestra las autorizaciones (ue ya e)iste en SAP# &o hayel preconfigurado o plantilla para transportes distintos de los papeles paraministradoresQ# Sin embargo, estas autorizaciones ofrecer una pauta de lo (ueen ser incluidos en un papel para los usuarios finales en comparaci'n con el administrador#a %er los detalles de estas autorizaciones recomendadas por SAP, seleccioneautorizaciones de usuario y AuditorBa→ *os usuarios del sistema de informaci'n y autorizaciones

*as autorizaciones→ *as autorizaciones por objeto# 0n la 5bjeto de autorizaci'n

mpo, introduzca" TRAN"PRT. 0n la Autorizaci'n campo, introduzca" $T" 4.o muestra la autorizaci'n de la tabla anterior y algunos m>sautorizaciones# Para %er los %alores de autorizaci'n alguna, basta con hacer doble clic con el bot'nesa autorizaci'n#$9A&SP9$ es tan crBtica (ue tambiOn aparece en el complemento Usuarios con Criticalautorizaciones informe elija *as autorizaciones de usuario y AuditorBa→ nformaci'nusuarios del sistema y Autorizaciones→ Usuario→ Usuario con las autorizaciones crBticosQ#

C$S A4 es el objeto de autorizaci'n para las funciones de administraci'nel sistema de cambio y de transporte, lo (ue incluye la capacidad de realizar obaciones de control de calidad# 0ste objeto de autorizaci'n s'lo tiene la C$S A4 =C$ campo,os %alores describen las acti%idades de administraci'n diferentes (ue pueden ser

mprobar con el objeto de autorizaci'n#siguientes son algunos de los %alores para la C$S A4 =C$ campo en

C$S A4 R

3*R antener las %Bas de transporte, llame a ciertas herramientas$R Ajuste la opci'n Sistema de cambio





PAR mportar todos los 'rdenes de transportePSR mportar solicitudes indi%idualesdR *le%e a cabo una Eaddtobuffer lR *le%e a cabo una Edelfrombuffer

ASR Acti%ar o borrar solicitudes en una cola de importaci'n4 R 0jecutar comandos tpAR Autorizaci'n para la aprobaci'n de los transportes en la producci'nemaa %er las autorizaciones recomendadas por SAP para S C$S A4 ,oseUser y Autorizaciones de AuditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ *as autorizaciones→ *as autorizaciones por objeto# 0n la

eto de autorizaci'n campo, introduzca" $T" ADMI. 0n la Autorizaci'n campo,ar" $T" 4. 0sto muestra la autorizaci'n de la tabla anterior y algunos

orizaciones adicionales# Para %er los %alores de autorizaci'n alguna, s'loa doble clic en dicha autorizaci'n#

S tambiOn utiliza un usuario especial, $ SA4 , para la ejecuci'n de transportes#SA4 es un usuario 9=C de las autorizaciones limitadas a las acti%idades de $ S#aR Si utiliza $ S, usted debe tener cuidado con los $ S

orizaciones S $ S 90A4, S $ S /9 $0 y S $ S 9=CQ#sted no utiliza $ S, proteger el tp programa en el sistema operati%oel de sistema#suario 9=C y las autorizaciones ser>n discutidos en una lecci'n posterior#mostración( Mire SH:RABSPR:pósito

%estigaci'n transporte de objetos de autorizaci'nos del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioR"9P T T-AU4 $ntraseDaRmisma (ue la claseablecer instruccionesRno hay ninguna configuraci'n especBfica re(uerida para estanifestaci'n#Siga la ruta de menNR *as autorizaciones de usuario y AuditorBa→ nformaci'n*os usuarios del sistema y Autorizaciones→ *as autorizaciones→ *as autorizaciones de5bjeto#

a 5bjeto de autorizaci'n campo entrar" TRAN"PRT. 0n la Autorizaci'nmpo entrar" $T" 4.*3 S/* /, Todos los derechos reser1ados03




o muestra la autorizaci'n de la tabla anterior y algunos m>sautorizaciones# Para %er los %alores de autorizaci'n alguna, s'loa doble clic en esa autorizaci'n#

$9A&SP9$ es tan crBtica (ue tambiOn aparece en el informeusuarios con autorizaciones crBticos User y Autorizaciones de AuditorBa→usuarios del sistema de informaci'n y autorizaciones→ Usuario→ Usuario con crBtico

autorizaciones#protección de seguridad cr)ticos -$6etosy ciertos seguridad crBticos objetos en sistemas de SAP, por ejemplo,erfil de par>metros del sistema de archi%os o la tabla de clientes del sistema tabla $ Q,debe asegurarse de (ue est>n protegidos contra el acceso no autorizado#medidas a tomar para proteger estos y otros objeti%os se describen ensiguientes temasR

ema de archi%os de perfil de par>metrosla para el mantenimiento de clientes de sistemass objetos de seguridad crBticos

protección de los archivos de per!il de par metros del sistemartas configuraciones rele%antes para la seguridad est>n contenidos en eluientes archi%os de sistema de perfil por ejemplo, los par>metros del perfil

n 6 no automatic user sap ^ o login 6 fails to user loc Q#archi%os del perfil del sistema son los siguientesR

fil nstanciaR `S 4 `instancia R Par>metros para el perfil%idores de aplicaciones#cio PerfilR start `instancia R script de inicio y los par>metros para lamplo#fil predeterminadoR 40=AU*$#P=*R "lobal profileed debe proteger estos archi%os contra el acceso no autorizado# Si un intrusoas arregla para acceder y modificar estos archi%os, se le puede cambiar el sistemafiguraci'n para la pr')ima %ez (ue se inicia el sistema# Asegurar (uenor nNmero de personas posible se les da acceso a estos archi%os# 9egularmente hacer gNrese de (ue estos archi%os son autOnticos#el administrador del sistema debe ser capaz de mantener estos archi%os# 0llos

mantienen en transacci'n 9I? #033 S/* /, Todos los derechos reser1ados



dad 4( Seguridad de los Sistemas de ProducciónM950protección de la Mesa para Clientes Mantenimiento del sistema :a$la :000la $ es una tabla fundamental en el sistema SAP# Puede crear yntener los clientes del sistema SAP en esta tabla# Por lo tanto, usted debeteger esta tabla en su sistema de producci'n de un acceso no autorizado#a proteger $ , tome las siguientes precaucionesR

acceso de mantenimiento a los administradores del sistema solamente# *aeto de autorizaci'n correspondiente se S A4 =C4#nir un proceso para la creaci'n y mantenimiento de clientes#ga en cuenta (ue $ se puede actualizar a tra%Os del acceso a mantenimientosacciones SCC< S ! y S !?,#ga en cuenta (ue la autorizaci'n S $A3U C* objeto para el %alor :mite el acceso a las tablas de clientes cruzada como $ #al(uier persona con S $A3U 4 S objeto de autorizaci'n a los %aloresy

para la Acti%idad campo y el %alor"" para la Autorizaci'n de grupompo puede mantener $ #

teger -tros cr)ticos de Seguridad -$6ectsed puede proteger ciertos objetos sean cambiadas por las importaciones mediante la definici'n deconjunto de objetos de seguridad crBticos en la tabla $ S$C9 # Se le ad%irti' de

mbios a estos objetos en las solicitudes de transporte#aR 0sta tabla se actualiza normalmente en S$ S transacci'n, 8isi'n de conjuntomportaciones→ 0)tras → 5bjetos importantes de transporte#ejemplo, usted podrBa tener un m'dulo de funci'n, programa o usuario de egreso (ueen ser transportados con precauci'n# Si se agregan a la lista de los crBticoetos de transporte, el administrador puede comprobar antes de ejecutar una importaci'na %er si los objetos crBticos est>n incluidos#ura ?@( -$6etos cr)tico para la seguridad43 S/* /, Todos los derechos reser1ados03



M950ión( Gestión del Cam$io , Seguridadm$ios de <mergencia en el Sistema de Produccióngeneral, los usuarios no deben tener programaci'n, depuraci'n conmplazar o autorizaciones de transporte en el sistema de producci'n# Comoa mencionado anteriormente, los cambios deben ocurrir en un solo sistema, a saber,istema de desarrollo# *a siguiente tabla muestra las autorizacionesse aplican al desarrollo y el transporte# Usted debe no dar a estos

orizaciones a los usuarios de su sistema de producci'n#orizaci'neto4080*5P

p'sitoautorizacionesa la A3APbenchogramaci'ndepuraci'nsacciones - Se))Qautorizaciones para

mbio yanizador de $ransporteautorizaci'n paracutar l'gicoema operati%o

mandosmentarion la acti%idad 2 cambiarQarrollo tipo de objeto" y 403U"

$9A&SP9$utiliza para manipular el cambiociones# objeto de autorizaci'niscutir> m>s

el sistema de EAsegurar %icios de Administraci'n deemas de Producci'n Elecci'n#

*5" C5

cauci'nR Si tiene (ue hacer cambios de emergencia en elema de producci'n, definir un procedimiento para hacer los cambios cuandouper%isado el control sobre lo (ue sucede# 4ar un Nnico usuario

orizaciones temporales para la transacci'n S0!\ y asegNrese de (ueuien aprueba estos cambios# Una %ez (ue el usuario ha realizado la

mbios, retire la autorizaci'nYta de control para la gestión del cam$io , la Seguridadauditores deben %erificar lo siguiente para asegurar la gesti'n del cambio y

uridadR

gurar (ue las pruebas de control de calidad se realiza en un entorno separadoproducci'n o el desarrollo#

gNrese de (ue el sistema operati%o (ue contiene las solicitudes de cambioUsr 6 sap 6 transQ estO debidamente protegido por el administrador del sistema#unas empresas optan por implementar una partici'n 6 usr 6 sap 6 trans justoa la producci'n para mejorar la seguridad#033 S/* /, Todos los derechos reser1ados

5




O al tanto de acceso a la S $9A&SP9$ en un entorno de producci'n#as solicitudes de cambio se supone (ue ser> lanzado por alguien (ue no seaolicitante, asegNrese de S $9A&SP9$ est> configurado para hacer cumplir esta polBtica#O al tanto de todas las personas con S C$S A4 por(ue esto permiteimportaciones en su sistema de producci'n#nfirme el proceso de aprobaci'n de las solicitudes de cambio es consistente conBtica de la empresa, (ue utilicen el procedimiento de aprobaci'n SAP 1A cuando sea posible#luya precios AU$59 4A4-declaraciones en programas personalizados dondedigo de transacci'n personalizado no proporciona suficiente seguridad#

ando los datos e)istentes se carga en un entorno de desarrollo,gurar un proceso est> en su lugar para ocultar todos los datos sensibles datos financieros,pleado los datos personalesQ#em>s de los controles anteriores, un inspector de c'digo adicional puede utilizarsees de pasar a los cambios de producci'n# 0ste inspector de c'digo puede acceder as herramientas de los desarrolladores Programa→ Comprobar→ nspector de c'digoQ asB comosacci'n a tra%Os de SC # 0ste inspector de c'digo comprueba si hay muchas >reas, incluyendouridad# 0sta herramienta es utilizada por el programador#mostración( demostrar el inspector de códigopósito

mostrar el inspector de c'digoos del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioRA4 ; -T TntraseDaRmisma (ue la claseablecer instruccionesR0l m'dulo de funci'n, I A4 ; CUS-

C540 debe e)istir#Como A4 ; -T T, ir a la transacci'n S0!Z#

rar 8 ADM23 $U"T%M $%DE.eccionar 'dulo de funciones→ nspector de c'digo#ed se dar> cuenta de che(ues de tres >reasR 9endimiento, Seguridad, sinta)is#a Seguridad >rea, %er> (ue hay dos mensajes informati%os#?3 S/* /, Todos los derechos reser1ados03



M950ión( Gestión del Cam$io , Seguridad m'dulo de funci'n lee una tabla de otro sistema, (ue es una copia de

m'dulo de funci'n SAP, 9=C 90A4 $A3*0# 0stas ad%ertencias sonue indica (ue otra mesa se lee, es s'lo (ue le permite saber es posible (ue desee asegurarse de las tablas (ue se leer>n puede ser (ue necesite

mprobaciones de seguridad adicionales#tas de auditor)a de la in!ormación del men del sistemaontinuaci'n se enumeran las rutas de los menNs del Sistema de nformaci'n de AuditorBa (ueplican a los temas de esta lecci'nRa elloRlibros de registro localizadas en el

sistema operati%o#%isar los sistemas y medios de transportes#

%ise objetos crBticos de transporte#ice esta ruta de menNRema de AuditorBa→ Sistema

nfiguraci'n→ =uncionamientoema→ ostrar 4irectorios SAPema de AuditorBa→ SAP System "roup

Sistema de "esti'n de $ransporteSQ→ 4escripci'n general del sistemaema de AuditorBa→ SAP System "roup

Sistema de "esti'n de $ransporteSQ _ mport generalema de AuditorBa→ SAP System "roupnstrumentos→ Ajuste la opci'n Sistema de cambio

ema de AuditorBa→ SAP System "roup4esarrollo 6 Personalizaci'nCoordinaci'n→ $ransporteanizador ema de AuditorBa→ 4esarrollo 6sonalizaci'n→ Programas A3AP→grama de An>lisis 0stadBsticoautorizaciones de usuario y AuditorBa

nformaci'n del usuario del sistema yautorizaciones→ *as autorizaciones→autorizaciones por objetoema de re%isi'n y cambio de opci'nfiguraci'n del cliente#trar solicitudes de cambio#(ue AU$59 4A4-C@0C[ rucciones dentro de los programas#

%isi'n pre%ista para las autorizaciones$9A&SP9$ y S C$S A4033 S/* /, Todos los derechos reser1ados

@



dad 4( Seguridad de los Sistemas de ProducciónM95033 S/* /, Todos los derechos reser1ados03




6ercicio @( Gestión del Cam$io ,guridadaci'n del ejercicioR ? minutos

6etivos del e6erciciopuOs de completar este ejercicio, usted ser> capaz deR

@aga una lista de las cosas a tener en cuenta en la %erificaci'n de las opciones del sistema de cambio,opciones del cliente de cambioemostrar c'mo e)aminar si el procedimiento de aprobaci'n pre%isto 1A

SAP est> configuradoescribir la estrategia de infraestructura del sistema recomendado por SAPemplo de <mpresased (uiere asegurarse de (ue un sistema de producci'n est> a sal%o cuando los cambios sonraslad' desde el desarrollo a la producci'n#os del sistemaemaR

enteRde usuarioRntraseDaRablecer instruccionesR

ma (ue la clase

ma (ue la clase#ma (ue la clase#ma (ue la clasehay ninguna configuraci'n especBfica necesaria para este ejercicioea 'criba la estrategia de paisaje recomendado por SAP#

P recomienda separar sudesarrollo desarrolloema desde su producci'n producci'nsistema#e los espacios en blanco para completar la frase#


9




u>l de las siguientes son las %entajas de seguridad a una de tres ni%elesajeWe la respuesta correcta sQ#

gurar (ue los cambios s'lo se producen en el sistema de desarrollo#gurar (ue los cambios s'lo se producen en su sistema de producci'n#desarrolladores no tienen acceso a los datos de producci'n#ed controla cuando los cambios se pas' a la producci'n#ed puede probar los cambios en un sistema de control de calidad#uO tipo de homologaci'n no SAP recomienda antes de pasar los cambiosproducci'nWea *erminar si el procedimiento de aprobaci'n de control de calidad est> en uso en nuestro sistema#

gir Sistema de AuditorBa→ SAP System "roup→ "esti'n del $ransporteema→ 4escripci'n general del sistema para determinar si el procedimiento de aprobaci'n de "C

> acti%o o no#l procedimiento de aprobaci'n de control de calidad no se enciende, Xsignificasportes no est>n aseguradosW

ea /erminar las opciones de cambio de cliente de nuestro cliente#cauci'nR Por fa%or, no realizar ningNn cambio en la configuraci'n (ueisar# 0s muy importante (ue usted s'lo mostrar nuestra configuraci'n# @ay

rias clases en cada sistema, posiblemente cada cliente# Por fa%or, noer cambios, ya (ue podrBa afectar otras clases#

gir Sistema de AuditorBa→ SAP System "roup→ @erramientas _ Cambiar configuraci'n del sistemai'n para determinar las opciones de cambio para nuestro cliente#






mo es nuestro cliente una trampaW X0st> de acuerdo (ue esta es una buena puesta a puntoWea 4so del Sistema de nformaci'n de AuditorBa para determinar cu>l de sus ^ "9P-T Tusuarios tienen acceso al c'digo de transacci'n 9I? # XPor (uO es la protecci'n de esteortante transacci'n c'digoW

gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario→ Usuarios de autorizaci'n de la transacci'n de inicio a

erminar (uiOn tiene acceso al c'digo de transacci'n 9I? #ultarSFSA4 "9P-T T deben tener acceso a 9I? #ea 5ar una recomendaci'n para S $9A&SP9$ para su desarrollo,antBa de calidad y entornos de producci'n# Proporcionar un escenario paraarrolladores, 3uscadores, el administrador del sistema y el e(uipo del proyectoente#

aluar objeto de autorizaci'n S $9A&SP9$ y determinar la e)actaores (ue deben ser proporcionados en desarrollo, garantBa de calidad,producci'n para desarrolladores, administradores de sistemas, 3uscadoresgerente del e(uipo del proyecto#

03





olución @( Gestión del Cam$io ,guridadea 'criba la estrategia de paisaje recomendado por SAP#

P recomienda separar el sistema de desarrollo deistema de producci'n#puestaR desarrollo, producci'n

u>l de las siguientes son las %entajas de seguridad a una de tres ni%elesajeWpuestaR A, C, 4, 0%entajas son por encima de todo, e)cepto EAsegurar (ue se produzcan cambiosen su sistema de producci'n# E&ormalmente no desea cambiosse producen en su sistema de producci'n#

uO tipo de homologaci'n no SAP recomienda antes de pasar los cambiosproducci'nWpuestaR SAP recomienda (ue alguien re%isa el cambio# SAPblece un procedimiento de autorizaci'n de control de calidad y un flujo de trabajo independiente para ayudar acon este proceso# Algunas compaDBas tienen reuniones formales eltiple signo-offs (ue tienen (ue ocurrir# SAP recomienda encarecidamente a algunosde procedimiento formal de aprobaci'n (ue debe estar en su lugar#

ea *erminar si el procedimiento de aprobaci'n de control de calidad est> en uso en nuestro sistema#

gir Sistema de AuditorBa→ SAP System "roup→ "esti'n del $ransporteema→ 4escripci'n general del sistema para determinar si el procedimiento de aprobaci'n de "C

> acti%o o no#

gir Sistema de AuditorBa→ SAP System "roup→ $ransporte

ema de "esti'n de → 4escripci'n general del sistema #gir "oto → $ransporte de dominio#ga clic en el Procedimiento de Aprobaci'n de control de calidad tab#ed se dar> cuenta (ue el procedimiento de aprobaci'n de control de calidad no se definenuestro sistema#l procedimiento de aprobaci'n de control de calidad no se enciende, Xsignificasportes no est>n aseguradosW

necesariamente# *o (ue importa es (ue algNn tipo de aprobaci'n esrre antes de los cambios se trasladan a la producci'n#

ntinNa en la p>gina siguiente*3 S/* /, Todos los derechos reser1ados

03



M950ión( Gestión del Cam$io , Seguridadea /erminar las opciones de cambio de cliente de nuestro cliente#cauci'nR Por fa%or, no realizar ningNn cambio en la configuraci'n (ueisar# 0s muy importante (ue usted s'lo mostrar nuestra configuraci'n# @ay

rias clases en cada sistema, posiblemente cada cliente# Por fa%or, noer cambios, ya (ue podrBa afectar otras clases#

gir Sistema de AuditorBa→ SAP System "roup→ @erramientas _ Cambiar configuraci'n del sistemai'n para determinar las opciones de cambio para nuestro cliente#

gir Sistema de AuditorBa→ SAP System "roup→ @erramientas de configuraci'n del sistema _mbiar opci'n#eccionar Ajuste Cliente#ga doble clic en el nNmero de cliente (ue representa el cliente (ue

> utilizando en clase#mo es nuestro cliente una trampaW X0st> de acuerdo (ue esta es una buena puesta a puntoWpuestaR &uestro cliente est> configurado como Cambios sin grabaci'n autom>ticaambios del repositorio y la cruz del cliente Personalizaci'n permitido#os ajustes son apropiados por(ue tenemos (ue permitir (ue tantosonalizaci'n y desarrollo por(ue nuestro cliente se utiliza para una formaci'n

dio ambiente y no tenemos un destino de producci'n final#ea 4so del Sistema de nformaci'n de AuditorBa para determinar cu>l de sus ^ "9P-T Tusuarios tienen acceso al c'digo de transacci'n 9I? # XPor (uO es la protecci'n de esteortante transacci'n c'digoW

gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario→ Usuarios de autorizaci'n de la transacci'n de inicio a

erminar (uiOn tiene acceso al c'digo de transacci'n 9I? #

gir *os usuarios y las autorizaciones de auditorBa→ nformaci'n del sistemauarios y Autorizaciones→ Usuario→ Usuarios por $ransacci'n nicioorizaci'n #eccionar $odas las selecciones#rar 4 GRP-# # en la Usuario campo y 9I? en la $ransacci'ngo campo#

ultarSFSA4 "9P-T T deben tener acceso a 9I? #




dad 4( Seguridad de los Sistemas de ProducciónM950ea 5ar una recomendaci'n para S $9A&SP9$ para su desarrollo,antBa de calidad y entornos de producci'n# Proporcionar un escenario paraarrolladores, 3uscadores, el administrador del sistema y el e(uipo del proyectoente#

aluar objeto de autorizaci'n S $9A&SP9$ y determinar la e)actaores (ue deben ser proporcionados en desarrollo, garantBa de calidad,producci'n para desarrolladores, administradores de sistemas, 3uscadoresgerente del e(uipo del proyecto#

puestaR Para in%estigar el objeto de autorizaci'n, consulte la documentaci'nirar las autorizaciones concedidas por SAP, luego llegar aecomendaci'n#43 S/* /, Todos los derechos reser1ados03



M950ión( Gestión del Cam$io , Seguridadsumen de la lecciónora deberBa ser capaz deRescribir el paisaje de gesti'n de cambios, procedimientos y herramientasue proteger sus sistemas de producci'n de autorizado o no probadoambiar dentificar los sistemas asegurados y clientes contra autorizado o no probadoambiar escribir los beneficios de un sistema de control de calidad y la aprobaci'n del control de laberaci'n de los cambios en la producci'n


a SAP ?!2 2R Aspectos de Seguridad en la programaci'n A3APP &ote ! 7 \<R autorizaciones re(ueridas para el $ S de control de calidad033 S/* /, Todos los derechos reser1ados

5




cción( Protección de servicios de administración del sistema enProducción S,stems**?

aci'n de la claseR 7 minutoss;ue6o de la leccióna lecci'n se hablar> de c'mo asegurar las tareas de administraci'n del sistemaos sistemas de producci'n# 0sto incluir> las tareas realizadas por el sistema

ministradores, pero la atenci'n se centra en tareas de tipo lle%adas a cabo por la administraci'n-chos usuarios finales o usuarios a%anzados# Por ejemplo, mirando a trabajos en segundo plano,as de cola, la descarga de datos de SAP en hojas de c>lculo, y el sistemallamadas (ue se realizan entre bastidores cuando salga de SAP por mplo, la creaci'n de una organizaci'n de productores (ue %a a un pro%eedorQ#6etivos de la lecciónpuOs de finalizar esta lecci'n, el alumno ser> capaz deR

mostrar c'mo asegurar el proceso de fondocuta la seguridad de carrete y el proceso de impresi'ncribir la forma de asegurar de forma efecti%a el acceso al sistema operati%ontificar las necesidades de seguridad para las descargas de escritorio y archi%o de programa

entrada 6 salidauctura de los re(uisitos de seguridad para interfaces de comunicaci'n

da secci'n se enumerar>n objetos de autorizaci'n, un par de cosas a tener en cuenta, ymostraci'n c'mo los auditores pueden %erificar la configuraci'n# 0s importante (ue acti%e

tos de %ista diferentes acerca de c'mo la seguridad se deben implementar yitados# Por ejemplo, algunas empresas de (ue todo el mundo crear y liberar trabajos en segundo plano, otros no lo hacen# *os ejercicios dan al estudianteiones sobre c'mo in%estigar los problemas y c'mo resol%erlos#emplo de <mpresasusuarios ejecutar mNltiples tareas (ue tienen un impacto en la administraci'n del sistema#os los usuarios tienen algNn tipo de acceso a la autorizaci'n de administraci'n del sistemaetos y algunos c'digos de administraci'n del sistema de transacci'n# Como medida de seguridad

ministrador y 6 o auditor, es necesario comprender lo (ue estas tareas y c'mo estas tareas deben ser protegidos#

s tareas ;ue utili2an los servicios de administración del sistemasiguientes son ejemplos de tareas (ue utilizan la administraci'n del sistema

%iciosR?3 S/* /, Todos los derechos reser1ados03



M950ión( Protección de servicios de administración del sistema en los sistemas de producción

uien est> en un informe y desea programarlo para (ue se ejecute en eldo en lugar de los conocimientos ad(uiridosuien (uiere comprobar si un trabajo de fondo de la noche anterior inalizado la ejecuci'nuien imprime algo y (uiere comprobar en el carrete, oea %ol%er a imprimir un informees de ejecutar un proceso determinado para el dBa, alguien tiene (uegurarse de (ue un archi%o ha llegado a partir de un sistema de almacenamiento e)terno, depro%eedor, etcQcomprador crea una orden de compra (ue debe ir inmediatamente a unndedor a lle%ar a cabo cada una de las tareas enumeradas, el usuario debe tener acceso al sistemaetos de administraci'n de autorizaci'n# Usted necesita saber las transaccionesautorizaci'n de los objetos in%olucrados y c'mo esos objetos de autorizaci'n

e ser protegida#Plan de tra$a6o para esta leccióna e)periencia cubre lo (ue usted debe buscar cuando se realiza un sistema deitorBaR

ecedentes garantBa de transformaci'nprimir 6 spool seguridadcceso al sistema operati%oritorio descargasci'n remota de comunicaci'n llamadaminos de men en el Sistema de In!ormación de Auditor)aas las sendas de menN utilizados en el Sistema de nformaci'n de AuditorBa A SQ se enumerannal de esta lecci'n# 8amos a utilizar las rutas de los menNs siguientes en A S paralecci'nR

ema de AuditorBa→ *os ? informes de seguridad→ 9=C 4estinos con inicio de sesi'nosema de AuditorBa→ Configuraci'n del sistema→ ###ema de AuditorBa→ Β α χ κ γ ρ ο υ ν δ $ransformaci'n→ *istado de trabajos en segundo planoautorizaciones de usuario y AuditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario→ *os usuarios de 8alores autorizaci'nautorizaciones de usuario y AuditorBa→ Administraci'n _ =unci'n Autorizaci'n

%alores predeterminados para generador de perfiles033 S/* /, Todos los derechos reser1ados

@



dad 4( Seguridad de los Sistemas de ProducciónM950ocesamiento en segundo plano Secureeas en segundo plano puede ser utilizado por muchas razones diferentes, tales como 09Peras, che(ues impresos, informes para los usuarios, los datos de proceso del sistema e)terno,cturas de impresi'n# $areas en segundo plano pueden ser programadas por el sistema

ministradores, pero hay otros c'digos de transacci'n donde el usuario podrBacitar> (ue ejecute algo en el di>logo o el fondo# Si el usuarioe fondo, el sistema crea una tarea en segundo plano#e tener en cuenta las siguientes cuestiones para trabajos en segundo planoR

ueden los usuarios publicar sus propios trabajos en segundo plano, o crear s'loajos en segundo planoW

O usuarios registros maestros son utilizados para la ejecuci'n del fondoajoW

uO usuarios pueden super%isar trabajos en segundo plano y lo (ue hacen el accesotrabajos en segundo planoW

operaci'n principal (ue se utiliza para crear trabajos en segundo plano es la transacci'n7 @erramientas→ CC S → obs→ 4efinitionQ# $ransacci'n S !Z @erramientas

CC S → obs→ antenimientoQ se utiliza para controlar los trabajos de fondo#embargo, tenga en cuenta (ue otras transacciones podrBa dar al usuario la opci'n

a programar trabajos en segundo plano# Una de esas operaciones es SA!\, (ueuede acceder desde cual(uier pantalla de SAP en el menN del sistema System→

%icios→ 9eportingQ#as secciones siguientes %eremos los distintos usuarios y c'moractuar con el proceso de fondo# 0n cada secci'n, mencionaremosetos de autorizaci'n y las diferentes formas de los objetos de autorizaci'n puede ser izado para implementar su estrategia de seguridad para el proceso de fondo#objetos de autorizaci'n primas utilizadas en el proceso de fondo son las

ueR

3$C@ 533$C@ &A

3$C@ A49I* A4ación de usuarios :ra$a6os en Segundo Planoeriormente mencionamos (ue la transacci'n S !7 es la transacci'n primariago para la creaci'n de trabajos en segundo plano# $ambiOn mencion' (ue hayP %arios otros c'digos de transacci'n (ue el usuario pueda tener la opci'n dea ejecutar algo en el fondo#33 S/* /, Todos los derechos reser1ados03



M950ión( Protección de servicios de administración del sistema en los sistemas de produccióna (ue un usuario programar un trabajo en segundo plano, sin las autorizaciones especialesuerida# A %eces una transacci'n SAP o informe incluye una ruta de menNot'n tales como 0jecutar en segundo plano# 0sto permite (ue el usuario ejecute elortar en el fondo, lo (ue crea un trabajo en segundo plano#erenciaR Si desea %er un ejemplo especBfico, bus(ue en el menNa Sistemas de nformaci'n# Casi todas las transacciones c'digo en esa >reamitir> al usuario programar algo en el fondo#a un ejemplo concreto, mire Sistemas de nformaci'n→ *ogBstica→uisiti%o→ 8endedor→ Compra de 8alores# A continuaci'n, elija 8endedor lisis→ 0jecutar en segundo plano#

se re(uieren autorizaciones especiales para crear el trabajo de fondo#ningNn tipo de autorizaci'n especBfica, el trabajo ser> creado, pero ser> el trabajoser puesto en libertad, lo (ue significa (ue el trabajo no se ejecutar>#ura ?3( Programación del usuario un in!ormeesea una lista de todos los (ue pueden liberar o ejecutar tareas, bus(ue

eto de autorizaci'n S 3$C@ 53, con un %alor de 90*0 en la obActionmpo#

unas compaDBas dan la autorizaci'n para liberar inmediatamente a fondostos de trabajo# 0sto significa (ue el trabajo se crean y publican para todos los usuarios (ueen acceso a tra%Os de una transacci'n para ejecutar algo en el fondo#s compaDBas no permiten a los usuarios libertad de inmediato puestos de trabajo# 0l usuariode programar el trabajo, pero alguien tiene (ue re%isar y acti%ar el trabajo#P admite cual(uier implementaci'n# *a polBtica de la empresa debe dictar debe ser capaz de liberar trabajos en segundo plano#033 S/* /, Todos los derechos reser1ados

9



dad 4( Seguridad de los Sistemas de ProducciónM950y una demostraci'n en el final de la secci'n de antecedentes para ir a buscar estos objetos de autorizaci'n, sin embargo, es posible (ue desee utilizar una parte de lamostraci'n ahora a %er S 3$C@ 53#

usuarios ;ue e6ecutan tra$a6os de !ondoorma predeterminada cuando un trabajo de fondo se crea, est> programada para ejecutarse en4 de usuario de la persona (ue program' el trabajo# Por lo tanto, si se %a

a ejecutar un informe como un usuario final, (ue estarBa bajo su nombre de usuario# Sin usuario a%anzado o un administrador utilizando la transacci'n S !7 para programar ajos en segundo plano, tambiOn dichos trabajos se ejecutan bajo el 4 de usuario por defecto#

ura ?9( ID del usuario de pasos de tra$a6oigura anterior muestra un trabajo en segundo plano con dos pasos# Cada paso es

cutado utilizando un 4 de usuario especBfico# 0l 4 de usuario podrBa ser el mismo para cada unoo, o el 4 de usuario puede ser distinto para cada paso#03 S/* /, Todos los derechos reser1ados03




ura @0( Con!iguración de la ID de usuario para un paso de tra$a6oa figura anterior, el 4 de usuario S $@ 5 se utiliza para ejecutar lagrama 9=4[8= informe financiero#rmalmente no Para (ue un usuario de un paso de trabajo para el usuario (ue elsona (ue ha creado el trabajo# *e recomendamos (ue definir usuarios especBficosa el procesamiento de fondo# *os definen como sistema usuarios sin di>logoQ#

4 de usuario creado debe tener s'lo las autorizaciones necesarias para laajos en segundo plano (ue necesitan para funcionar#B hay algunas razones para utilizar 4s de usuario especBficas para trabajos en segundo planoR

de usuario es estable, el usuario nunca cambia de trabajo o departamentos#ando se utiliza un Sistema 4 de usuario, la contraseDa no tiene (ue ser reiniciada#de usuario s'lo se utiliza para el proceso de fondo, nadie puede entrar eneste 4 de usuario#4 de usuario facilita la administraci'n de la seguridad y el mantenimiento de

do horario#so especBfico sistema usuarios para trabajos en segundo plano se recomienda pararias razones# Supongamos (ue S $@ 5 ha programado un fondoajo para impresi'n de che(ues (ue se ejecuta cada noche# Si S $@ 5 transfiere desde elartamento de cuentas por pagar al departamento de colecciones, S $@ 5

no deberBan tener acceso a los controles de impresi'n y el trabajo en segundo plano

e dejar (ue las nue%as autorizaciones de S $@ 5# Adem>s, si S $@ 5la compaDBa y el 4 de usuario se (uedaron encerrados por el administrador de seguridad,abajo en segundo plano serBa un fracaso#033 S/* /, Todos los derechos reser1ados



dad 4( Seguridad de los Sistemas de ProducciónM950nfiguraci'n especBfica sistema usuarios para trabajos en segundo plano ayudar con la seguridaddministraci'n y el mantenimiento del horario de fondo#ura @'( SH>:C.HBAMeto de autorizaci'n S 3$C@ &A protege lo (ue los 4 de usuario se puede utilizar a ejecutar los pasos de trabajo# *a Antecedentes nombre de usuario campo contiene el usuariontificadores (ue se pueden utilizar al programar trabajos# 0n el ejemplo anterior,

3$C@ &A , Antecedentes nombre de usuario, $endrBa (ue anotar S $@ 5 enn de crear un trabajo en segundo plano y programarlo para (ue se ejecute en el 4 de usuario$@ 5#

y una demostraci'n en el final de la secci'n de antecedentes para ir a buscar estos objetos de autorizaci'n, sin embargo, es posible (ue desee utilizar una parte de lamostraci'n ahora a %er S 3$C@ &A #uarios de supervisión de las tareas de !ondoa los usuarios (ue tienen acceso a transacci'n S !Z para super%isar los trabajos, es necesarioa garantizar la seguridad est> configurado correctamente# Algunos trabajos en segundo plano tienen carretee, como parte de su producci'n# 0sto podrBa incluir facturas (ue necesitan estar reso y en%iado por correo, che(ues (ue deben ser en%iados por correo, talones de che(ues, etcre# Si alguien realiza un trabajo en segundo plano y se %a a S !Z para %igilar abajo en segundo plano, (ue debe ser capaz de %er las peticiones de corredera desde supios puestos de trabajo, y no desde otros puestos de trabajo#*3 S/* /, Todos los derechos reser1ados03




ura @*( &suarios No$s Antecedentes de seguimientomejor manera de proteger esta es dar al usuario acceso a transacci'nZ, pero no hay acceso adicional# 0sto significa (ue no es necesario el acceso a

3$C@ A4 o S 3$C@ &A # Si concede acceso a un usuario a utilizar sacci'n SP 2 a mirar su orden SP55* y, adem>s, leal usuario acceso a transacci'n S !Z para %er los trabajos en segundo plano,ario s'lo tiene el c'digo de transacci'n para los trabajos en segundo plano# &o adicionalorizaciones se re(uieren# 0sto les permitir> %er trabajos en segundo plano,irar un carrete para sus propios trabajos en segundo plano solamente# 4iscutiremoss detalles acerca de carrete y transacci'n SP 2 en la secci'n de ESecurerete y procesamiento de impresi'n E#Quieres a alguien (ue sea capaz de mirar s'lo a sus propias peticiones de carreteR

es S $C540 con S !Z y SP 2#hay objetos de autorizaci'n (ue se precisan para %er carrete#ministración de :ra$a6os en Segundo Planoministraci'n de trabajos en segundo plano implica %arias tareas tales como la definici'najos en segundo plano, e%entos utilizados para el mantenimiento de procesamiento en segundo plano,er%isi'n de las tareas de fondo, la realizaci'n de an>lisis de trabajos en segundo plano, yurar y mejorar el desempeDo de trabajos en segundo plano#P ofrece un papel, SAP 3C 3A$C@ A4 &, (ue da accesoesarios para trabajos en segundo plano# 0ste papel tiene los c'digos de transacci'n yorizaciones necesarias para alguien (ue necesita para administrar el fondostos de trabajo#033 S/* /, Todos los derechos reser1ados



dad 4( Seguridad de los Sistemas de ProducciónM950y una demostraci'n en el final de la secci'n de antecedentes para ir a buscar estos objetos de autorizaci'n, sin embargo, es posible (ue desee utilizar una parte de lamostraci'n ahora a %er SAP 3C 3A$C@ A4 & papel#ura @/( Men de Papel SAPH>CH>A:C.HADMIBa apoyar esta funci'n, las autorizaciones son necesarias para todas las autorizacionesetos (ue hemos mencionado anteriormenteR S 3$C@ 53, S 3$C@ &A ,3$C@ A4 , S 9I* A4 # *as autorizaciones mBnimas re(ueridasnumeran a continuaci'nRetos de autori2ación para el procesamiento en segundo planoorizaci'neto3$C@ 533$C@ 533$C@ &Amporaciones de trabajoor 0, 90*0, S@5/,$os los 4 de usuario (ue se puedenizar para la programaci'ndidas de fondo

CrearQ, ! 4isplayQumen del trabajo de un grupo ^ecedentes nombre de usuario3$C@ A49I* A4ecedentes Administrador mbre del campo3$C@ 53 protege a las acciones (ue puede ejecutar con el fondostos de trabajo# 0l administrador tendr> (ue liberar los trabajos, eliminar trabajos, mostrar trabajormaci'n y los registros de trabajo# S 3$C@ &A protege los nombres (ue se pueden introducir ndo se crean pasos fondo de trabajo# Anteriormente hemos mencionado (ue cuandorabajo de fondo es creado, el nombre (ue se utiliza para los impagos de ejecuci'n para4 de usuario de la persona (ue crea el trabajo# Si otro 4 de usuario es introducido,

3$C@ &A protege lo (ue los 4 de usuario se pueden introducir#





3$C@ A4 declara si la persona es el administrador del fondo#un administrador del fondo le permite realizar todas las operacionesodos los puestos de trabajo# S 9I* A4 se discutir> con m>s detalle en la siguienteci'n sobre comandos e)ternos y programas e)ternos# 0sta autorizaci'neto es necesario si el trabajo en segundo plano se ejecuta un comando e)terno oprograma e)terno#mandos e"ternos L programas , tra$a6os en segundo planocrear un trabajo en segundo plano, uno de los siguientes pasos de trabajo (ueejecutadoV

grama A3APmando e)ternograma e)ternol trabajo de fondo es el uso de comandos e)ternos o programas e)ternos,uridad adicional#comandos e)ternos desde el sistema operati%o se ejecuta desde SAP# Para

mplo, un operador tiene (ue ejecutar un comando e)terno de SAP! (ue les dice cu>nto espacio de disco libre en una unidad particular# 5,%ez alguien en la compra tiene (ue ejecutar un comando e)terno parairles (ue si un archi%o ha llegado a un %endedor 6 socio#comandos e)ternos le permiten ejecutar comandos en el sistema operati%o

ema, sin tener (ue estar en el sistema operati%o#programas e)ternos e)isten en el sistema operati%o# Un ejemplo podrBa ser unagrama (ue lee un archi%o y e)trae datos ciertos#


5



dad 4( Seguridad de los Sistemas de ProducciónM950ura @4( :ipos de pasos de tra$a6oa incluir comandos e)ternos y programas e)ternos en un fondoo, debe tener una acti%idad! para el objeto de autorizaci'n S 9I* A4 #l trabajo de fondo est> utilizando comandos e)ternos, tambiOn es necesario el acceso a la

*5" C5 # Acceso para comandos e)ternos se discute con m>s detalle m>sa secci'n EProtecci'n de acceso al sistema operati%o#EQ

nsacción SA/3 , :ra$a6os en Segundo PlanomenN del sistema est> disponible en todas las pantallas de SAP# Sistema→ Ser%icios→ormes te lle%a a la transacci'n SA!\# 0n esta transacci'n un usuario puede

cutar un informe en el primer plano o en segundo plano#

cauci'nR 0l problema con SA!\ es (ue la seguridad es dependientere el programa, el usuario se est> ejecutando# $odo el mundo necesita lama autorizaci'n para llegar al SA!\# Una %ez (ue un usuario est> dentro SA!\,utorizaci'n siguiente %iene marcada desde el programasuario se est> ejecutando# Si la empresa continNa utilizando SA!\, serBtico (ue cada informe personalizado A3AP ejecutado tiene algNn tipo

control de seguridad#omendaciones para asegurar SA!\ son como sigueR

s posible, no permitir el acceso general a SA!\#ugar del SA!\, asociar informes con c'digos de transacci'n# Puede utilizar

nNs superficie a los informes de los grupos en los >rboles de menN#?3 S/* /, Todos los derechos reser1ados03




!inición de usuarios para el procesamiento en segundo plano

nir usuarios especBficos a utilizar para el proceso de fondo# 4efinir losmo los usuarios del sistema no-di>logoQ y darles s'lo el necesarioorizaciones necesarias para los programas ejecutados#are las autorizaciones necesarias para la definici'n de puestos de trabajo y empleo

cuci'n# 0l usuario final puede definir los pasos de trabajo, pero el administrador de lacuta el trabajo#aR Para definir los pasos de trabajo (ue se ejecutan bajo un usuario diferente,

e(uiere la autorizaci'n para el objeto de autorizaci'n3$C@ &A # Usted debe dar esta autorizaci'n para laNnico administrador#

tringir los administradores de lotes para ejecutar los pasos de trabajo (ue utilizan s'lo lausuarios pre%iamente definidos por lotes#gNrese de (ue los pasos de trabajo no puede ser ejecutado utilizando cual(uiera de los sNper usuarios por ejemplo, SAP ^, 44 CQ#

S 3$C@ 53, campo ob"roup dice (ue siempre se establece en4. 0s decir ue toda la documentaci'n dice# Sin embargo, tambiOn se podrBa dejar probablementecampo en blanco (ue darBa lugar a un color amarilloQ# &o parece el campoluso se utiliza por m>s tiempo#e un4a(uB, por(ue es lo mismo (ue encontrar>n en SAP&et yauditores deben permitir una4en ese campo#

@03 S/* /, Todos los derechos reser1ados03




s autori2aciones se utili2an en proceso de !ondo

gNrese de (ue los %alores de los objetos de autorizaci'n son los (ueremos (ue de acuerdo a esta tabla#etompoor 0nificado

ere sus propios puestos de trabajoom>ticamente# Si un usuario tieneautorizaci'n 90*0, los puestos de trabajomanecen en el estado Programado#minar trabajos de otros usuarios# Usted puederar sus propios puestos de trabajo singuna autorizaci'n especial#o se utilizaQtrar empleo de otros usuariosniciones#stra los registros de trabajos# Un usuario puedeen no presentan registros en absoluto oos los registros de trabajos# 0l sistema no hacerenciar entre su propiostos de trabajo y otros trabajos#mpre debe tener un4.3$C@ 53 ob 5p-

ciones0

S$AS$9A9 $

m-y destos de trabajo para unpo3$C@ &A 3ac -

suelousuarionombre

uariombre

puedeizarsendo

gnar-" uno de trabajon usuariontidad

ermina los nombres de usuario (ued puede utilizar para asignar los pasos de trabajos usuarios# Por ejemplo, usted esar un trabajo de fondo (uejecutar> un informe financiero#rabajo se debe ejecutar con laema de usuario =ireport# 0l usuarioeport debe ser definido a(uB, asBse puede utilizar =ireport cuandoreaci'n de empleo en el S !7#ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados

@'



dad 4( Seguridad de los Sistemas de ProducciónM950etompoor

nificadosuario es administrador del lote# 0sta

nifica (ue este usuario puede hacer cual(uier cosatodos los puestos de trabajo en todos los clientes#

3$C@ A4 3ac -sueloAdmin-nistrador

dentificaci'n

blanco

suario puede trabajar s'lo con puestos de trabajo enual del cliente#usuario con pri%ilegios de administrador por lotes puede hacer nada constos de trabajo en todos los clientes objeto de autorizaci'n S 3$C@ A4 , campo *ote

ministrador establecido en&0. Sin esta autorizaci'n, los usuarios pueden trabajar s'lore el empleo en el cliente en el (ue se inicia la sesi'n#os los usuarios pueden programar, cancelar, borrar y comprobar el estado de supios trabajos sin autorizaciones especiales adicionales# Sin embargo,orizaciones adicionales se necesitan por lo siguienteRerar trabajos propios de un proceso por lotes S 3$C@ 53R Acci'n 90*0Qmuestran los registros de todos los puestos de trabajo S 3$C@ 53R Acci'n P95$Qgnaci'n de programas A3AP a un paso de trabajo S P95"9A Q#gnaci'n de un usuario diferente a un paso de trabajo S 3$C@ &A Q#

autorizaciones (ue permiten al usuario eliminar trabajos o mostrar informaci'nenecientes a otros usuarios sonR

minar los puestos de trabajo (ue pertenecen a otros usuarios S 3$C@ 53Rion 40*0Qtrar definiciones de trabajo y listas de carrete (ue pertenecen a otros usuarios3$C@ 53R Acci'n S@5/ Q

a la ejecuci'n de comandos e)ternos dentro de los trabajos, el usuario necesitaautorizaci'n para el objeto S *5" C5 #

cure Print Spool , Procesamientool 6 impresi'n 6 fa) se puede utilizar para imprimir los che(ues, 'rdenes de compra, informes,B sucesi%amente# Al mirar carrete e imprimir, debe comprobar algunosasR

gurar (ue las impresoras est>n correctamente aseguradosgurar (ue las personas s'lo pueden %er sus solicitudes de carretegNrese de (ue la gesti'n de las impresoras fBsicas y el sistema de carrete

uede hacer s'lo por los administradores del sistema@*3 S/* /, Todos los derechos reser1ados03



M950ión( Protección de servicios de administración del sistema en los sistemas de producciónprincipales >reas (ue se puede asegurar con la impresi'n de (ue pueden incluir

ar impresoras y gestionar el sistema de cola de impresi'n, lo (ue los usuarios pueden utilizar las impresoras,(ue los usuarios pueden tomar acciones con las peticiones del carrete#objetos de autorizaci'n principales (ue se utilizan para proteger la bobina y el proceso de impresi'nlos siguientesR

SP5 408R (ue las impresoras pueden imprimir enSP5 AC$R acciones (ue puede realizar con las solicitudes de colaA4 =C4R administrar el sistema de carretede una perspecti%a de auditorBa, la impresi'n de fijaci'n se simplifica enormemente si m>susuarios tienen acceso a las transacciones SP 2 para gestionar su propio carreteciones# Con SP 2 usuarios pueden acceder al menN del sistema, Sistema→ Propioe a la cola, para gestionar sus propias peticiones de carrete# Con la SP 2 s'loeto de autorizaci'n es necesario S SP5 408#bjeto de autorizaci'n S SP5 408 protege lo (ue un usuario puede impresoraseder# 4ebe tener en cuenta las impresoras sensibles y %erificar (ue los usuarios puedeneder a ellos# mpresoras usted podrBa (uerer considerar sensible serBaresoras (ue se utilizan para la impresi'n de che(ues, impresi'n de facturas, che(ues de n'mina,rmes financieros y datos de los empleados#

nsacci'n SP 2 es la forma m>s segura de garantizar (ue los usuarios pueden buscar s'lo enpropias peticiones carrete#administradores de sistemas y administradores de cola se necesita m>sgos de transacci'n y el acceso a S A4 =C4 y S SP5 AC$# Sistemas administradores de cola (ue tenga al menos las siguientes autorizacionesRetos de autori2ación para Spool o Imprimirorizaci'netoA4 =C4mpociones del sistema de administraci'n

or ?, SP 9,

AA, I0PA,AC SPA4,A , SPA9,

$4, SP$9 $9, 3AS0,0, P9&$,

, repr US09 SP5 AC$ciones colaSP5 AC$aci'n %erificaci'n de autorizaci'n033 S/* /, Todos los derechos reser1ados

@/



dad 4( Seguridad de los Sistemas de ProducciónM950eto de autorizaci'n S SP5 AC$ es muy poderoso# 0ste objeto se compruebacuando se intenta acceder a una solicitud del carrete (ue hace no pertenecen a sude usuario# 0n la 9elaci'n %erificaci'n de autorizaci'n campo, U"ER da a alguieneso a todas las peticiones de los usuarios del carrete#cauci'nR Cual(uier persona (ue tenga S SP5 AC$ con el %alor'I"TA en

mbinaci'n con el objeto de autorizaci'n S A4 =C4 con%alor"P ! o "P%R puede %er los datos de cada orden SP55*

dos los usuariosQ#P proporciona un papel para los administradores de cola (ue es un buen ejemploo (ue un administrador del sistema tendrBa (ue tener# 0l nombre de la funci'n es

P 3C SP55* A4 &# *as operaciones mBnimas re(ueridas paraete de administraci'n incluyen SP ? SPA4, SP??, SP?2 y 9I2 # *aorizaciones en este papel incluyen las autorizaciones de los objetos S A4 =C4,9I* A4 , S SP5 AC$, S SP5 408, y S SP5 PA"0#SP5 PA"0 es un objeto de autorizaci'n (ue le permite limitar elmero de p>ginas (ue un usuario puede imprimir en una impresora especBfica# 0sta autorizaci'neto no es necesario# &ormalmente no ser> necesario para implementar estaeto de autorizaci'n# &o hay criterios de auditorBa SAP recomendados para estaeto de autorizaci'n#mostración( Demostrar la $ s;ueda de todos los ;ueede ver las peticiones de cola para todos los usuariospósitorop'sito de esta demostraci'n es Onfasis en la importancia de

rotecci'n de los datos en las solicitudes de cola# 0s importante saber (ue pueder todas las solicitudes de cola# Solicitudes de cola incluyen carreras de n'mina, che(ues,rmes y facturas# @ay una gran cantidad de datos sensibles (ue se pueden encontrar

una solicitud de carrete#os del sistemaemaRmisma (ue la clase

enteRmisma (ue la clasede usuarioRmisma (ue la clasentraseDaRmisma (ue la claseablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para esta demostraci'n#Utilice la ruta *os usuarios y las autorizaciones de auditorBa→ Usuarios de la informaci'n del sistemay autorizaciones→ Usuario→ por %alores de autorizaci'n#

eccionar $odas las selecciones a continuaci'n, introduzca4 GRP # # en la Usuario campo#@43 S/* /, Todos los derechos reser1ados03




a 5bjeto de autorizaci'n campos, introduzca" ADMI 6$D y " "P% A$T.se la tecla 0&$09#a 8alor campo, introduzca"P ! o "P R para los %alores de S A4 =C4#a 8alor campo para S SP5 AC$, introduzca'I"T.o el "9P T T *os usuarios deben aparecer# ndi(ue a los estudiantes (ue lo har>nestigar esto m>s adelante en sus ejercicios#

mostración( +oo8 at SAP proporcionó papelPH>CHSP--+HADMIBpósitorop'sito de esta demostraci'n es e)aminar el papel (ue se proporcionaSAP para los administradores de carreteR SAP 3C SP55* A4 &# *a

orizaciones en este papel son probablemente m>s generosa (ue la mayorBamitir> a las empresas# Sin embargo, la configuraci'n de esta funci'n puede funcionar para algunospresas#os del sistemaemaRmismo como clase

enteRmismo como clasede usuarioRmismo como clasentraseDaRmismo como clase

ablecer instruccionesR&o hay ninguna configuraci'n especBfica re(uerida para estanifestaci'n#r a P=C" y mirar SAP 3C SP55* A4 & papel#

er%e los c'digos de transacci'n en el enN >rea#a nota zona autorizaciones (ue S SP5 AC$ tiene la lista de %alores,

cuenta (ue S SP5 408 tiene un ^# *a mayorBa de los administradores de base no es necesariorimir en una impresora de %erificaci'n# S'lo discutir las autorizaciones y si

omendar (uO SAP ha puesto en marcha a(uB# PodrBa ser muy bien para algunospresas, demasiado generosas para los dem>s#oteger el acceso al sistema operativo

ser%idores de SAP incluyen un sistema operati%o# 0ste sistema operati%o

erga su instalaci'n SAP# 0jemplos de sistemas operati%os incluyeno+s 2 , U& :, AS6< , *inu) y 5S6!; # *os usuarios pueden acceder istema operati%o SAP mediante la ejecuci'n de comandos e)ternos en SAPemas# 0jemplos de comandos e)ternos incluyen los siguientesR033 S/* /, Todos los derechos reser1ados

@5




rramientas de copia de seguridad de base de datos tales como brbac upcomandos de entorno del sistemaa de directorios y el espacio disponible en el sistema operati%ocutar SAProuter comandos e)ternos pueden incluir cual(uier comando (ue normalmente

cutar en el sistema operati%o#to el mantenimiento y ejecuci'n de comandos e)ternos est>n protegidosautorizaciones de SAP# *os comandos e)ternos pueden ejecutarse de formatransacci'n S <;, en programas A3AP, o en los pasos de trabajo en segundo plano#tenimiento y ejecuci'n de comandos e)ternos son ejecutados por rentes c'digos de transacci'n S 7; para crear comandos e)ternos, S <;ecutarQ#cauci'nR Cada usuario, ya sea con o programador de depuraci'norizaciones puede ejecutar cual(uiera de los comandos del sistema operati%o

mo usuario `sid adm# 0sto significa (ue debe tener mucho cuidado congnaci'n de programaci'n o la depuraci'n autorizaciones#tringir las autori2aciones para el Mantenimiento de comandos e"ternoscomando e)terno es un alias definidos en el sistema SAP (ue representacomando del sistema operati%o# Por ejemplo, puede definir el e)terno

mando IP &", (ue representa el comando del sistema operati%o hacer pingnombre de host#ura @5( De!inición de los comandos e"ternos con SM?9

@?3 S/* /, Todos los derechos reser1ados03



M950ión( Protección de servicios de administración del sistema en los sistemas de producciónde modificar estos comandos e)ternos y configurar la seguridad adicional

canismos# $ambiOn se puede ampliar el rango de los comandos predefinidosministrados por SAP con sus propios comandos y par>metros# &o se puedembiar los comandos de SAP en los sistemas de los clientes, sin embargo#Qa mantener comandos e)ternos, utilice la transacci'n S 7;# Para mantener

mandos e)ternos, es necesario tener el objeto de autorizaci'n9I* A4 con el %alor !7 =*/ la Acti%idad campo#tringir las autori2aciones para e6ecutar comandos e"ternosed puede ejecutar comandos e)ternos mediante transacci'n S <;#ura @?( <6ecución de comandos e"ternos con SM49emas SAP contienen informaci'n detallada para cada comando e)terno,uyendo el comando del sistema operati%o en sB mismo, los par>metros predefinidosoda su longitud, y la informaci'n acerca de si los par>metros adicionalesermiten#es de (ue el sistema SAP ejecuta un comando e)terno, el adicional>metros se comprueban# Si los caracteres no permitidos se encuentra, el comandose ejecuta y la e)cepci'n S0CU9 $F 9 S[ se le%anta#usuarios (ue ejecutan comandos e)ternos deben contar con la autorizaci'n

eto S *5" C5 en sus registros de usuario principal con los siguientes camposnidosR

mando nombre del comando e)ternoQystem sistema operati%o para el comandoQst nombre de host simb'lico de sistema de destinoQ033 S/* /, Todos los derechos reser1ados

@@



dad 4( Seguridad de los Sistemas de ProducciónM950Comando y 5psystem campos se utilizan para identificar de forma Nnica lamando e)terno, mientras (ue Anfitri'n define las autorizaciones para la ejecuci'n demandos en los e(uipos de destino determinadas#

restricti%a con la asignaci'n de esta autorizaci'n# *os administradores debentrolar (uiOn tiene autorizaci'n sobre la base de S *5" C5 objeto de autorizaci'n(ue los programas se puede acceder en el ni%el de sistema operati%o#scargas seguros de escritorio , archivo de programatrada L Salidaemas SAP utilizan dos formas de descargar listasR

cargar *ista est>ndar plementaciones especBficas de la aplicaci'n para la descarga deura @@( Descarga de listascarga lista est>ndar se accede desde la opci'n de menN Sistema→a → Ahorrar→ Archi%o local o a tra%Os de otras implementaciones de las funcionesulo * S$ 45/&*5A4#plementaciones especBficas de la aplicaci'n incluyen icrosoft 0)cel ycaciones utilizar otros mecanismos para poner en pr>ctica su propia descargatodos, (ue protegen con sus propios objetos de autorizaci'n#

as implementaciones utilizar la funci'n 45/&*5A4 m'dulos o45/&*5A4#

@33 S/* /, Todos los derechos reser1ados03




n(ue no se puede e%itar (ue un usuario guardar los datos de una lista (ue se muestraun archi%o por ejemplo, la creaci'n de una imagen y guardarla en un archi%o aparteQ,eto de autorizaci'n S "U se usa para ayudar con la seguridad de descarga#U protege a (uienes pueden descargar listas# Sin embargo, s'lo se aplica acarga est>ndar y no a aplicaciones especBficas puestas en pr>ctica#em>s, si el usuario puede descargar listas, Ol o ella puede descargar todoas#ceso a archivos con SHDA:AS<:y momentos en (ue un usuario debe tener acceso a un archi%o de un programa A3AP#cceso puede ser conocida o desconocida para el usuario# Por ejemplo, un usuarioa una orden de compra# 0sta orden de compra est> con el %endedor#nuestro ejemplo, las 'rdenes de compra se colocan en un archi%o y se en%Ba a la%eedor# Como usuario crea una orden de compra, si el archi%o es inmediatamenteescrito, el usuario debe tener acceso para escribir archi%os#omendamos (ue los usuarios tengan acceso a objeto de autorizaci'n S 4A$AS0$#acti%idades mBnimas re(ueridas son== *eer archi%o normalQ yA: *eer

hi%o con filtroQ#er!aces de comunicación seguramayorBa de los sistemas de SAP debe comunicarse con otros sistemas# *amunicaci'n podrBa ser con otros sistemas SAP, con un sistema de legado, o

otras empresas# Por ejemplo, su empresa tiene un negocio de SAPormaci'n Sistema de almacenamiento, adem>s de un SAP 9 6 !# *aP 9 6 ! debe en%iar los datos al sistema SAP 3/#ura @3( Comunicación entre sistemas SAP033 S/* /, Todos los derechos reser1ados

@9



dad 4( Seguridad de los Sistemas de ProducciónM950ed tambiOn podrBa tener mNltiples sistemas SAP# $al %ez usted tiene un sistema detiene s'lo @9# Por lo tanto todas sus aplicaciones de negocio est>n en un solo sistema,est> en un sistema distinto# ejemplo podrBa ser sistemas en %arios paBses# Usted tiene una

ema para 0uropa y otra para AmOrica del Sur# Cada uno de estos sistemasden funcionar de manera independiente, pero aNn deben compartir algunos datos pararmaci'n financiera# ejemplo serBa si su empresa cuenta con diferentes lBneas de negocio#ejemplo, su empresa hace (ue los ordenadores personales y port>tiles

mputadoras, su empresa tambiOn hace grandes ser%idores# 0stos son dos distintoseas de negocio# Cada lBnea de negocio tiene su propio sistema SAP, pero eleas de negocio debe compartir cierta informaci'n#cada uno de estos ejemplos, debe asegurarse de (ue la comunicaci'ne los sistemas es seguro y protegido#

em>s de los sistemas SAP, su empresa podrBa tener algNn no-SAPsistemas con los (ue debe comunicarse#

ura @9( Comunicación entre sistemas de sistemas SAP , no SAPa comunicaci'n entre sistemas no SAP, debe tener en cuenta tantoemas internos y e)ternos# 0s posible (ue tenga un almacOn e)ternoema (ue utiliza SAP disponibilidad del producto# Como producto es ad(uirido ya al almacOn, el sistema SAP debe saber de los bienesingresos y los mo%imientos de mercancBas#em>s, es posible (ue los pro%eedores con los (ue debe comunicarse#os pro%eedores reciben 'rdenes de compra y en%iar mercancBas#

as interfaces se pueden utilizar para la comunicaci'n con los sistemas de SAP# Aantizar (ue nadie pueda obtener acceso no autorizado a su sistema SAPso de estas interfaces, tambiOn deber> tomar las medidas adecuadas#03 S/* /, Todos los derechos reser1ados03



M950ión( Protección de servicios de administración del sistema en los sistemas de producciónditor)a R C Destinosaspecto de la comunicaci'n entre sistemas es la funci'n remota

mar al 9=CQ de destino# 4estinos 9=C decirnos donde cada sistema yo acceder al sistema# 0n el ejemplo de SAP 9 6 ! y SAP 3/, el 9=Ctino (ue le dice (ue el sistema SAP 3/ es y c'mo iniciar sesi'n en elP 3/ sistema# 4esde una perspecti%a de auditorBa 6 seguridad, usted (uiere asegurarse deel destino 9=C est> configurada con el usuario correcto#

ura 30( +os usuarios de SAP >7 , SAP R L /a figura, hay dos sistemasR un sistema SAP 3/ y un SAP 9 6 !ema# 0n el sistema SAP 3/, cliente 2 , 3/90 5$0 usuario ha sidoado# 0ste usuario tiene un perfil llamado S 3 -/@ 9=C# 0n el SAP 9 6 !ema, el cliente ; , 3/A*090 5$0 usuario ha sido creado# 0ste usuario tiene unafil llamado S 3 -/: 9=C#ando SAP 3/ se comunica con SAP 9 6 !, se conectar> como*090 5$0#033 S/* /, Todos los derechos reser1ados



dad 4( Seguridad de los Sistemas de ProducciónM950ura 3'( Destinos R C de SAP >7 , SAP R L /SAP 3/, un destino 9=C (ue apunta a SAP 9 6 !# 0n SAP 9 6 !, unC destino apunta a SAP 3/# Cada sistema debe saber c'mo iniciar sesi'n enel otro sistema#estra principal preocupaci'n se refiere a la identificaci'n del usuario en el destino 9=CR el tipousuario (ue se ha introducido y los derechos de acceso de ese usuario# de usuario en el destino R C

configurar el destino 9=C (ue apunta a un sistema SAP, inicio de sesi'nrmaci'n debe ser proporcionada# Siempre (ue el destino 9=C se utiliza, se

mpre iniciar> la sesi'n con el 4 de usuario en el destino 9=C y tienen (ueorizaciones de usuario#ura 3*( Cone"ión de la In!ormación en Destino R C*3 S/* /, Todos los derechos reser1ados03



M950ión( Protección de servicios de administración del sistema en los sistemas de produccióna figura anterior, el 4 de usuario 3/A*090 5$0 se utiliza# Cada %ez (ue estotino 9=C se utiliza, el acceso de seguridad para 3/A*090 5$0 ser>izado# 3/A*090 5$0 debe configurar como un sistema de comunicaciones o del sistemaario#ura 3/( :ipo de ID de usuario en el destino R C

4 de usuario en destinos 9=C debe establecerse como la comunicaci'n o el sistemaarios# 0sto tiene %arias %entajasR una persona no puede iniciar sesi'n con el usuarioy las contraseDas de los (ue normalmente no tienen %encimiento#concesi'n de acceso a la 4 de usuario en el destino 9=C pueden %ariar ampliamente# 0naso de 3/A*090 5$0, el acceso re(uerido se proporciona en el SAPuBa de instalaci'n# @ay perfiles configurados para este usuario#rmalmente, el 4 de usuario utilizado en destinos 9=C necesita tener una bastanteplia gama de autorizaciones# 0sto es por(ue el usuario podrBa realizar chas de las tareas a tra%Os de mNltiples >reas de aplicaci'n# Por ejemplo, en el flujo de trabajosuario /=-3A$C@ es necesario# 0ste usuario re(uiere una gama muy amplia deorizaciones debido a (ue el usuario %aya a realizar una amplia gama de acti%idades#tinos con R C usuario actual

mirar los destinos 9=C, puede %er algunos donde un 4 de usuariose proporciona, m>s bien la Usuario actual campo est> seleccionado#033 S/* /, Todos los derechos reser1ados



dad 4( Seguridad de los Sistemas de ProducciónM950ura 34( <l usuario actual en el destino R Csted %e Usuario actual, esto significa (ue cuando este destino es 9=Cocado, el 4 de usuario (ue se utiliza es el 4 de la persona (ue in%ocadestino 9=C# Aun(ue Usuario actual no siempre se utiliza, hay

unas situaciones, cuando es posible (ue desee utilizar esta opci'n# Una posiblemplo de ello es cuando se encuentra en SAP 3/ y desea %er los datos en SAP!# @ay un c'digo de transacci'n (ue le permite conectarse directamente a SAP! para mirar 45Cs tipos intermedios de documentosQ (ue han sido en%iados aP 3/# 0sta operaci'n re(uiere un destino 9=C (ue apunta a SAP 9 6 !#Usuario actual se utiliza en el destino 9=C, el 4 de usuario en SAP 3/el mismo 4 de usuario para iniciar sesi'n en SAP 9 6 !#a cada destino 9=C debe tener en cuenta el 4 de usuario (ue se utiliza# Ustede ser consciente del tipo de acti%idades (ue el usuario necesita para ejecutar# *ade usuario necesitar> autorizaciones suficientes para hacer todo lo (ue podBaocar el destino 9=C# $ransacci'n 9S9=CC@[ listar> cada 9=C

tino y el usuario implicado#ura 35( :ransacción R R CC.O43 S/* /, Todos los derechos reser1ados03



M950ión( Protección de servicios de administración del sistema en los sistemas de produccióneto de autori2ación SHR Cl usuario final intenta hacer algo (ue llama a la lectura de un 9=Ctino, el objeto de autorizaci'n S 9=C est> marcada# 0sto significa (ue si unario se encuentra en SAP 9 6 ! y se produce a tra%Os de una llamada a mySAP Supplier 9elationshipagement mySAP S9 Q, SAP 3usiness nformation /arehouse SAP, mySAP Customer 9elationship anagement mySAP C9 Q, o cual(uier sistema SAP, S 9=C est> marcada# Adem>s, se comprueba cuando S 9=C

usuario llega a tra%Os de una interfaz distinta de la tradicional SAP"U # 0stauye la entrada desde un na%egador /eb, un portal, buscador 30) o analizador ramientas, cual(uier punto de entrada (ue no sea el SAP"U tradicional#o significa (ue cada usuario tendr> acceso a S 9=C# *as empresas frente

este objeto de manera muy diferente# Algunas empresas son muy estrictas en lo (ueores se dan a S 9=C, otras dejarlo bien abiertas# 0l SAP

omendaci'n es realizar un rastreo del sistema con S$ ? y restringir orizaciones a los grupos de funciones especBficas (ue se accede duranteaza#

9=C tiene los siguientes camposR

o de 9=C objeto a proteger mbre de 9=C a ser protegidosi%idada especificar aNn m>s el uso de S 9=C, puede utilizar el par>metro de perfilh 6 rfc authority chec #y muchas %ariaciones de los grupos de funciones (ue podrBan ser incluidos comoores de autorizaci'n para S 9=C#

P ha proporcionado un par>metro de perfil de todo el sistema, auth 6 rfc authority chec ,se puede utilizar para hacer cumplir los di%ersos grados de control contra laeto de autorizaci'n S 9=C#siguientes %alores son posibles para el par>metro auth 6 rfc authority chec R

Sin comprobaci'n de autorizaci'nutorizaci'n comprobar acti%o sin comprobar mismo usuario, sin %erificaci'n de

mo conte)to de usuario y S9=C =U"9-Q - 0sta es la configuraci'n por defecto#Autorizaci'n comprobar acti%o sin comprobar S9=C-=U"9QAutorizaci'n de %erificaci'n acti%a CS9P-=U"9 tambiOn marcadaQaR S=9C es un grupo de funciones =U"9Q (ue se utiliza mucho en

P# ncluye m'dulos de funciones llamadas como 9=C *5" &,C P &", y 9=C SFS$0 &=5# 0stos m'dulos de funci'n sonizado para la comunicaci'n entre sistemas SAP y SAP entreo SAP sistemas#033 S/* /, Todos los derechos reser1ados

5



dad 4( Seguridad de los Sistemas de ProducciónM950C Cone"iones , sistema de Gestión del :ransporteistema de "esti'n de $ransporte $ SQ usa 9=C para comunicarsee los sistemas de la infraestructura de sistemas $ S# Para establecer la 'ptimauridad para su jardBn, puede utilizar estos escenarios posiblesR

ectoS ser%icios de confianzamunicaciones de red segurasenario por de!ecto

n el escenario por defecto, el usuario $ SA4 est> configurado como usuario de 9=C%icio para las aplicaciones de transporte de administraci'n (ue no son crBtico para la seguridad#e asignar a este usuario autorizaciones s'lo para acceso de lectura y

mbios no crBticos de manera (ue no pueden obtener un acceso no controlado desdesistema a otro# 4e esta manera, puede administrar sistemas con diferentesuisitos de seguridad en un dominio de transporte sin el no seguroemas (ue ponen en peligro los sistemas de seguridad#ido a (ue el usuario s'lo tiene $ SA4 autorizaciones limitadas, los

ministrador tiene (ue utilizar su cuenta de usuario propio al realizar raciones m>s crBticas (ue $ SA4 no se le permite hacer# 0n este caso,o ella debe iniciar la sesi'n con el 4 de usuario y contraseDa cada %ez (ue Ol o ella utilizaS para realizar estas operaciones#erenciaR Por defecto, el $ SA4 usuario se configura como un Comunicacionesario con el perfil" A.TM"ADM.S servicios de con!ian2aando utilice los Ser%icios $ S de confianza, se establece una relaci'n de confianzae los sistemas $ S# 0n este caso, el usuario (ue inicia sesi'n se concedeeso basado en esta relaci'n de confianza, en %ez de tener (ue iniciar la sesi'n conde usuario y contraseDa#aR

4 de usuario en el sistema de la llamada debe ser idOntico al usuariontificaci'n en el sistema de destino#4 de usuario en el sistema de la llamada debe ser idOntico al usuariontificaci'n en el sistema de destino#

cauci'nR 4ebido a (ue el sistema con los re(uisitos de seguridad m>s bajaermina el ni%el de seguridad para todos los sistemas en elbito del transporte, se debe utilizar $ S Ser%icios de confianza s'lo si

mple con su polBtica de seguridad#?3 S/* /, Todos los derechos reser1ados03



M950ión( Protección de servicios de administración del sistema en los sistemas de producciónmostración( Mire destinos R C , SHR Cpósitoa destinos 9=C y S 9=Cos del sistemaemaR

enteRde usuarioRntraseDaRablecer instruccionesRnifestaci'n#

r a S ;

mo como clasemo como clasemo como clasemo como clasehay ninguna configuraci'n especBfica re(uerida para esta

a 9 6 ! destinos# Seleccione una de las AP5 SAP o SAP 3/tinos#%emente %er los ajustes tOcnicos y anote la direcci'n de la5 6 3/ sistema#a el nicio 6 Seguridad tab# 4iscutir el cliente, usuario, contraseDa, yario actual# SeDale (ue este usuario se utilizar> en el sistema de destino#a $ A4 ; papel T T "0&09 C# ira S 9=C# 1ue aparezca laumentaci'n sobre el objeto de autorizaci'n#s autori2aciones $ase re;uerida por cada usuarioesta lecci'n hemos hablado de los ser%icios administrati%os (ue deben ser tegida# @emos pasado re%ista a estos ser%icios desde la perspecti%a de laario final y del administrador#P proporciona una funci'n de funciones de base para el usuario final,P 3C 0&4US09#em>s de las funciones (ue les ayuda con la configuraci'n de seguridad y protecci'n, SAP tambiOnporciona plantillas# *as plantillas son conjuntos de autorizaciones (ue se puedenrtar en cual(uier papel# Una de las plantillas proporcionadas por SAP incluye

orizaciones de base re(uerida por cada usuario# 0sta plantilla es SAP US09 3#de el punto de %ista del auditor, esta plantilla es un buen punto de partidao (ue todos los usuarios puedan necesitar para las tareas de administraci'n del sistema#mplos de objetos de autorizaci'n en SAP US09 3 plantilla son las siguientesR033 S/* /, Todos los derechos reser1ados

@




9=C4A$AS0$SP5 408P95"9A$A3U 4 Sa plantilla puede proporcionar un poco m>s o un poco menos autorizaci'netos 6 autorizaciones (ue necesitan los usuarios, pero es una buena referenciato#a e%aluar las autorizaciones dentro de las plantillas de SAP, seleccione *os usuarios y losautorizaciones de AuditorBa→ =unci'n Administraci'n→ *os %alores por defecto de autorizaci'n

a el generador de perfiles#6eto de autori2ación SHADMIH CDhemos mencionado (ue S A4 =C4 es un objeto de autorizaci'n de gran alcance#acceso a muchas funciones de administraci'n del sistema# Si bien el sistemaadministradores tendr>n acceso generoso a este objeto, debe ser sciente de la concesi'n de acceso a este objeto de autorizaci'n# 0n particular,en tener en cuenta todos los administradores (ue no son (uienes tienen acceso a la autorizaci'neto#A4 =C4 tiene un campo, *as funciones del sistema de administraci'n 0l siguientea muestra la profundidad de S A4 =C4R

ciones de administraci'n del sistemaol Administraci'n

P=orms Administraci'nema de onitoreoo Administraci'n de cachO

nforme encontr' bajo *os usuarios y las autorizaciones de auditorBa→ nformaci'nusuarios del sistema y Autorizaciones→ Usuario→ Usuario con las autorizaciones crBticos

porciona %arios %alores para S A4 =C4 (ue deben ser protegidos en unorno de producci'n# 0l administrador del sistema tendr> un amplio accesote objeto de autorizaci'n, sin embargo, otros deben tener poco o ningNn accesoa este objeto de autorizaci'n#a dos ejemplos de acceder a S A4 =C4, considere lo siguienteR

AP proporcionan plantilla, SAP US09 3, (ue incluyeorizaciones del sistema para todos los usuarios, no no incluir cual(uier acceso aA4 =C4#AP proporcionan a seguir para los administradores de sistemas,

P 3C 3AS S A4 &, proporciona un acceso muy amplio paraA4 =C4#




M950ión( Protección de servicios de administración del sistema en los sistemas de producciónunos de los %alores posibles para S A4 =C4, campo Administraci'n del sistemaciones siguenR

4 R Administraci'n de la red S <, S , S \, S ;Q4 R Proceso de administraci'n S , sm ?, sm <QV interceptoecedentes trabajo funci'n de depuraci'n en trabajo en segundo plano

ministraci'n, operaci'n S !ZQ2R Autorizaci'n para crear, modificar y eliminar los mensajes del sistema

A4R Autorizaci'n para el carrete de la administraci'n en todos los clientesR Crear nue%os clientes

ed debe ser consciente de todas las personas con acceso a S A4 =C4 en todossistemas SAP#rectrices para la administración del sistema i6aciónrvicios de Produccióniguiente es una lista de las directrices generales para la obtenci'n y auditorBa

%icios de administraci'n del sistema en producci'nR

mayorBa de los usuarios no necesitan tener acceso aR S 3$C@ 53, S 3$C@ &A ,

3$C@ A4 , S 9I* A4 , S A4 =C4#A4 =C4 es un objeto de autorizaci'n (ue debe ser cuidadosamenterdado# ientras (ue los administradores necesitan acceso generoso a este objeto,

mayorBa de los usuarios finales tendr>n acceso muy limitado#eas en segundo plano (ue se ejecutan peri'dicamente debe establecerse con determinadode usuario reser%ado s'lo para el proceso de fondo#P proporciona muchas funciones y plantillas (ue se pueden utilizar como unta de lo (ue los usuarios necesitan# Puede utilizar las funciones pre%istas enta general de acceso al sistema un usuario puede re(uerir#usuarios de destinos 9=C debe ser Comunicaciones o Sistema usuarios#

os 4 de usuario debe ser reser%ado para el uso de los destinos 9=C#ga en cuenta (ue todos los usuarios (ue pueden %er en los datos de las solicitudes de cola para todos los usuariosA4 =C4 y S SP5 AC$Q#consciente de (ue puede ejecutar y crear comandos e)ternos9I* A4 y S *5" C5 Q#

tas de auditor)a de la in!ormación del men del sistemaontinuaci'n se enumeran las rutas de los menNs del Sistema de nformaci'n de AuditorBa (ueplican a los temas de esta lecci'nR033 S/* /, Todos los derechos reser1ados

9



dad 4( Seguridad de los Sistemas de ProducciónM950a elloRditorBa 9=C destinos#ice esta ruta de menNRema de AuditorBa→ $op ? de seguridadormes→ 4estinos con 9=Cdatos de inicio de sesi'nema de AuditorBa→ Sistema

nfiguraci'n→ =uncionamientoema→ Para utilizar los comandos e)ternosema de AuditorBa→ Sistema

nfiguraci'n→ 9 6 !os de comunicaci'n→ 9=CAP 9emote =unction Call→ 9=Ctinosa comandos e)ternos#nfigurar los destinos 9=C#nfigurar cola de peticiones y la impresora Sistema de AuditorBa→ Sistemafiguraci'n#Configuraci'n→ mprimir

Configuraci'n→ Control de salidaCarrete y Administraci'n

%isar los trabajos e)istentes de fondo#ema de AuditorBa→ Β α χ κ γ ρ ο υ ν δnsformaci'n→ 8isi'n general deajos en segundo planoficar el acceso a S A4 =C4,*as autorizaciones de usuario y AuditorBa

*5" C5 , S 9I* A4 , → *os usuarios del sistema de informaci'n y3$C@ &A , y S 3$C@ A4 # *as autorizaciones→ Usuario→ Usuarios por

8alores de autorizaci'na plantillas proporcionadas por SAP#utorizaciones de usuarioditorBa→ =unci'n Adminis-_ 8alores de autorizaci'n por defecto

erador de perfiles paramostración( Mire SAPH&S<RH> plantillapósitoa a la seguridad en las plantillas#os del sistemaemaR

enteRde usuarioRntraseDaRablecer instruccionesRnifestaci'n#mo como clasemo como clasemo como clasemo como clase

hay ninguna configuraci'n especBfica re(uerida para esta03 S/* /, Todos los derechos reser1ados03




al c'digo de transacci'n SU2<# ira las plantillas#eccione SAP US09 3 y discutir objetos 6 %alores en la plantilla#033 S/* /, Todos los derechos reser1ados




@

6ercicio 3( Seguridad de los Sistemas de Producciónaci'n del ejercicioR minutos

6etivos del e6erciciopuOs de completar este ejercicio, usted ser> capaz deRsegurar (ue los sistemas de producci'n son segurosemplo de <mpresasnecesario realizar un control para %er c'mo funciona el sistema de producci'n se estableci' enci'n a los ser%icios de administraci'n del sistema#os del sistemaemaR

enteRde usuarioRntraseDaRablecer instruccionesR

ual (ue el curso#ual (ue el curso#

T T-AU4 $#ual (ue el curso#hay ninguna configuraci'n especBfica necesaria para este ejercicio#ea 'alizar las solicitudes de cola# XCu>l de los usuarios ^ "9P T TQ se puede %er carretecitudes de otros usuariosW X1uO es lo (ue tiene (ue hacer para solucionarloW

gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario→ Usuarios por %alores de autorizaci'n para %er (uiOn tieneeder a S A4 =C4 con el %alor"P ! o "P%R.ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados




os resultados del informe indican un problemaW

A4 "9P-T T es uno de los usuarios con el problema de autorizaci'n#alizar este usuario, e)aminando cuidadosamente los roles asignados# 4escribir o se lo recomendarBa a solucionar este problema#ea * ejercicio debe ser opcional dependiendo de la hora#

o desea, realizar ajustes en el "9 papel T T "0&09 C para resol%er elblema de seguridad de la tarea anterior#

a a la herramienta de mantenimiento de las funciones y cambiar el papel "9 T T "0&09 C#ar " ADMI 6$D; adem>s, eliminar el c'digo de transacci'n"P !de el objeto de autorizaci'n" T$%DE.ea /alizar lo (ue los administradores del sistema pueden hacer con las peticiones del carrete# *ataadministrador del sistema %er los datos de un informe de recursos humanos (ue incluyeos sensiblesW

A4 "9P-T T ha ejecutado un informe# nicie sesi'n como SFSA4 "9P-T T,a en cola las solicitudes de usuario @9A4 "9P-T T# Usted debe %er lo menos un carrete de solicitud de este usuario# Perforar en el orden SP55*er si se puede %er los datos#

aR Usted tendr> (ue cambiar la Creado por campo aADMGRP-# #. Adem>s, cambiar el =echa de creaci'n para ser de enero 2 ! hasta la fecha de hoy#ntinNa en la p>gina siguiente43 S/* /, Todos los derechos reser1ados03




mo administrador del sistema, puede (ue tenga (ue eliminar la petici'n,mprimir la solicitud, cambiar el orden SP55*# Sin embargo, como un sistema deministrador no deberBa ser capaz de %er los datos (ue contiene la

citud#%ise la salida del informe# XCree (ue el sistemaministrador deberBa poder opinar sobre este productoWmbre maneras en (ue usted puede in%estigar "9 T T-SFSA4 # XC'mo puedeeriguar lo (ue les permite obser%ar los datos de colaW XC'mo puedela in%estigaci'n de (uiOn m>s podrBa tener los mismos problemas de autorizaci'nWmo se puede buscar una soluci'n para recomendarW

ea 4a el destino 9=C, A4 ; 40S$ &A$ 5&# X1uO tiene el usuariodo haciendo (ue se utiliza en ese destinoW

gir Sistema de AuditorBa→ Configuraci'n del sistema→ 9 6 ! Comunicaci'nos → 9=C 6 SAP 9emote =unction Call→ 9=C 4estinos para buscar el A4 ; 40S$ &A$ 5& destino 9=C# $enga en cuenta el 4 de usuarioolucrado#

erminar c'mo A4 ; 90 5$0 su creaci'n, incluyendo el tipo deario y las autorizaciones de los usuarios#

aR 0l usuario puede tener roles asignados o perfiles manualesgnado# Perfiles manuales se obser%a con mayor frecuencia en los usuariosporcionada por SAP# ientras (ue SAP le recomienda asignar funcioness usuarios, a %eces se %en a los usuarios establecer comunicaci'nperfiles manuales#

ice el registro de auditorBa Sistema de AuditorBa→ 9egistros del sistema y muestra el estado→ditorBa de la seguridad de 0%aluaci'n *ogQ para determinar (ue el usuario ha sidoiendo# 0s esto coherente con el prop'sito del destino 9=CW 0suridad del usuario est> configurado correctamenteW

ea 5ermine el 4 de usuario (ue se utiliza en los destinos 9=C#


5




cutar 9S9=CC@[ transacci'n a las listas de destinos 9=C el 4 de usuario#cute el informe para los destinos 9=C (ue comienzan con las letras# 0n casa usted lo ejecute para todos los destinos 9=CV a(uBlcance se reduce con fines de formaci'n#Qea ?er (ue los usuarios pueden crear comandos e)ternos, (ue los usuarios pueden

cutar comandos e)ternos, y (ue los usuarios pueden aDadir comandos e)ternosa trabajos en segundo plano#

gir *as autorizaciones de usuario y AuditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario→ Usuarios de autorizaci'n de la transacci'n de inicio aerminar (uO usuarios pueden crear comandos e)ternos y (ueusuarios pueden ejecutar comandos e)ternos# Para %er (uO usuarios pueden crear,r (uO usuarios tienen c'digo de transacci'n S 7;# Para %er (uO usuarios puedencuci'n, bus(ue el c'digo de transacci'n S <;#ice la misma metodologBa para determinar (uO usuarios pueden aDadir e)terno

mandos para trabajos en segundo plano# Para encontrar esta mirada a los usuarios con acceso9I* A4 y S *5" C5 #

ea @%ise la configuraci'n por defecto de SAP para *as autorizaciones CrBticos# 0n particular,ga en cuenta la inclusi'n deR S A4 =C4# X0st> de acuerdo con estos

omendacionesW XPor (uO o por (uO noW Si el tiempo lo permite, la in%estigaci'n de la otraetos incluidos en esta lista#

gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario→ Usuario con las autorizaciones crBticos a la in%estigaci'najustes para S A4 =C4#ice el informe 5bjetos de autorizaci'n→ 5bjetos de autorizaci'n por nombre

a comprender los %alores de autorizaci'n pre%istos en el informe#

t> de acuerdo con la configuraci'n en el informeW XPor (uO o por (uO noW?3 S/* /, Todos los derechos reser1ados03




olución 3( i6ación de los Sistemas de Producciónea 'alizar las solicitudes de cola# XCu>l de los usuarios ^ "9P T TQ se puede %er carretecitudes de otros usuariosW X1uO es lo (ue tiene (ue hacer para solucionarloW

gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario→ Usuarios por %alores de autorizaci'n para %er (uiOn tieneeder a S A4 =C4 con el %alor"P ! o "P%R.

gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'nutorizaciones→ Usuario→ Usuarios por los %alores de autorizaci'n#a Usuario campo entrar4 GRP-# #. 0sto ejecutar> el informea sus usuarios#la 5bjeto de autorizaci'n campo, introduzca" ADMI 6$D. 0ntrar "P !

R.os resultados del informe indican un problemaWpuestaR SB, hay por lo menos la indicaci'n de un problema potencial#o no estos usuarios pueden profundizar en carrete con ser dependiente

re autorizaciones de otros, sin embargo, +ithS A4 =C4, %alores

! o "P%R7 la Creado por campo en la transacci'n SP ? ya no est>tegida# Cual(uier 4 de usuario puede introducir en el Creado por campo#ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados

@




A4 "9P-T T es uno de los usuarios con el problema de autorizaci'n#alizar este usuario, e)aminando cuidadosamente los roles asignados# 4escribir o se lo recomendarBa a solucionar este problema#puestaR @ay %arias opciones para arreglar el problema# Algunoslisis puede incluir lo siguienteR

A4 "9P-T T tiene dos funciones# 0l acceso a S A4 =C4 est> en lael $ A4 ; T T "0&09 C#

A4 ; T T "0&09 C se asigna a cada uno en lapresa, por lo (ue cual(uier cambio realizado afectar> a todos#o (ue este cambio deberBa estar en %igor para todo el mundo e)ceptoadministradores de base, mirar los papeles asignados a su base de usuario

FSA4 "9P-T TQ#SA4 "9P-T T tiene acceso a S A4 =C4 en papelA4 ; T T SFS$0 A4 &# AsB se puede garantizar laeso (ue necesita est> incluido en el papel#ora usted puede %er lo (ue tiene (ue suceder paraA4 ; T T "0&09 C# $odos los usuarios no necesitan S A4 =C4,

(ue usted puede (uitar ese objeto de autorizaci'n#cionalmente cuenta de (ue el usuario tiene acceso a las operaciones SP ?P 2# Para todos los usuarios de la empresa, SP 2 podrBa ser suficiente# SP 2menos opciones (ue SP ?2, pero usted puede discutir c'mo supresa (uiere manejar los c'digos de cola de transacciones#

ea * ejercicio debe ser opcional dependiendo de la hora#

o desea, realizar ajustes en el "9 papel T T "0&09 C para resol%er elblema de seguridad de la tarea anterior#ntinNa en la p>gina siguiente33 S/* /, Todos los derechos reser1ados03




a a la herramienta de mantenimiento de las funciones y cambiar el papel "9 T T "0&09 C#ar " ADMI 6$D; adem>s, eliminar el c'digo de transacci'n"P !de el objeto de autorizaci'n" T$%DE.

gir nstrumentos→ Administraci'n→ antenimiento por el usuario→ Papelministraci'n→ 9oles#rar GR # # GENERI$ en la Papel campo y elija Cambiar#eccione la *as autorizaciones ficha y elegir Cambio de Autorizaci'nos#ienda los nombres tOcnicos eligiendo Utilidades→ Configuraci'n#eccionar ostrar nombres tOcnicos y elegir "uardar configuraci'n#e la 3ases Administraci'n objeto de clase# 8er> el

eto de autorizaci'n *as autorizaciones del sistemaR S A4 =C4#re el objeto de autorizaci'n haciendo clic en el 3orrar icono#bjeto de autorizaci'n ahora se mostrar> como nacti%o#

a (uitar el c'digo de transacci'n SP ?, abra la 0ntre aplicacionesetos de autorizaci'n objeto de clase# $aladre en la autorizaci'n de$C540# @aga clic en el Cambiar icono y eliminar SP ?#erar el perfil eligiendo *as autorizaciones→ "enerar#ea /alizar lo (ue los administradores del sistema pueden hacer con las peticiones del carrete# *ataadministrador del sistema %er los datos de un informe de recursos humanos (ue incluyeos sensiblesW

A4 "9P-T T ha ejecutado un informe# nicie sesi'n como SFSA4 "9P-T T,a en cola las solicitudes de usuario @9A4 "9P-T T# Usted debe %er lo menos un carrete de solicitud de este usuario# Perforar en el orden SP55*er si se puede %er los datos#

aR Usted tendr> (ue cambiar la Creado por campo aADMGRP-# #. Adem>s, cambiar el =echa de creaci'n para ser de enero 2 ! hasta la fecha de hoy#

icie sesi'n como SFSA4 "9P-T T#gir Spool 6 Salida Administraci'n→ Control de salida ir adigo de transacci'n SP ?#

mbie el %alor en el Creado por campo aHRADMGRP-# #.mbie los %alores de la =echa de creaci'n siendo ? de enero 2 !

ta la fecha de hoy#gir 0jecutar# Usted debe %er por lo menos una orden SP55*# Si%eo una orden SP55*, comunB(uese con su instructor#ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados

9




mo administrador del sistema, puede (ue tenga (ue eliminar la petici'n,mprimir la solicitud, cambiar el orden SP55*# Sin embargo, como un sistema deministrador no deberBa ser capaz de %er los datos (ue contiene la

citud#

gir "oto → uestra peticiones→ Contenido para mirar los datos enolicitud de carrete#> la salida del informe#

%ise la salida del informe# XCree (ue el sistemaministrador deberBa poder opinar sobre este productoW

el informe se %e a(uB es un informe de @9# Cuenta con datos de los empleadosuyendo el nNmero de personal del empleado, el 4 personal

mero, nombre, cargo, y asB sucesi%amente# *a Pers 4&o columna tiene lapleado del gobierno emiti' nNmero de identificaci'n por ejemplo, en laados Unidos, este es el nNmero de la seguridad socialQ#rmalmente, un administrador del sistema puede administrar orden SP55*,o no re%isar los datos de las solicitudes de carrete# @ay siempreepciones a la regla, pero la mayorBa de los administradores de sistemas noesitan tener acceso a los datos confidenciales de las solicitudes de cola#

mbre maneras en (ue usted puede in%estigar "9 T T-SFSA4 # XC'mo puedeeriguar lo (ue les permite obser%ar los datos de colaW XC'mo puedela in%estigaci'n de (uiOn m>s podrBa tener los mismos problemas de autorizaci'nWmo se puede buscar una soluci'n para recomendarWpuestaR @ay %arias maneras para in%estigar este asunto# @ayrias soluciones posibles# *os siguientes son s'lo algunosomendacionesR9ealizar un seguimiento para %er (uO S$ ? objeto de autorizaci'n se compruebacuando el usuario mira la orden SP55*#tilizar el Sistema de nformaci'n de AuditorBa para descubrir (uO papeles son

asignado al usuario# A continuaci'n, puede entrar en los papeles y mirar os objetos para determinar (uO objeto de autorizaci'n permite a

l acceso#sted sabe (ue el usuario %a a tra%Os de transacci'n SP ?# Usted puedeutilizar transacci'n SU2< para %er (uO objetos de autorizaci'n sonasociado con SP ?# A continuaci'n, puede in%estigar a(uellos autorizaci'nobjetos en A S utilizando *as autorizaciones de usuario y AuditorBa→ nformaci'n*os usuarios del sistema y Autorizaciones→ 5bjetos de autorizaci'n→ Por nombre del objeto, te)to#puOs de hacer un poco de in%estigaci'n, usted %er> (ue objeto de autorizaci'nSP5 AC$ es el objeto (ue protege a las acciones sobre las solicitudes de cola# *aor 4 SP permite a alguien para cuidar a los datos de solicitud de carrete#





M950ión( Protección de servicios de administración del sistema en los sistemas de producciónea 4a el destino 9=C, A4 ; 40S$ &A$ 5&# X1uO tiene el usuariodo haciendo (ue se utiliza en ese destinoW

gir Sistema de AuditorBa→ Configuraci'n del sistema→ 9 6 ! Comunicaci'nos → 9=C 6 SAP 9emote =unction Call→ 9=C 4estinos para buscar el A4 ; 40S$ &A$ 5& destino 9=C# $enga en cuenta el 4 de usuarioolucrado#

gir Sistema de AuditorBa→ Configuraci'n del sistema→ 9 6 !os de comunicaci'n→ 9=C 6 SAP 9emote =unction Call→ 9=Ctinos#erto 9 6 ! Cone)iones y haga doble clic A4 ; 40S$ &A$ 5&#ga clic en el nicio 6 Seguridad pestaDa para %er el usuario y el cliente (ue est>izado en este destino 9=C# Usted debe notar (ue el usuario esM23 REM%TE.ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados




erminar c'mo A4 ; 90 5$0 su creaci'n, incluyendo el tipo deario y las autorizaciones de los usuarios#aR 0l usuario puede tener roles asignados o perfiles manuales

gnado# Perfiles manuales se obser%a con mayor frecuencia en los usuariosporcionada por SAP# ientras (ue SAP le recomienda asignar funcioness usuarios, a %eces se %en a los usuarios establecer comunicaci'nperfiles manuales#

gir *os usuarios y autorizaciones de los usuarios de AuditorBa _→ Usuarios por usuariombre#a Usuario campo, introduzcaADM23 REM%TEy ejecutar el informe#ultar

> el 4 de usuario, grupo de usuarios, y el tipo de usuario# 0staario es un Comunicaciones usuario#alte el usuario y elija "rupos de acti%idad para %er los papelesgnado#

ultar

ed se dar> cuenta (ue no hay funciones asignadas a este usuario#(ue no hay roles, tal %ez hay perfiles manuales

gnado al usuario# Utilice la flecha hacia atr>s %erde para salir de laando a la asignaci'n de funciones# 0legir Perfiles para %er (uOfiles podrBa ser asignado#ultar

dar>s cuenta de (ue el usuario tiene dos perfilesR 3 A*0 A** y3AS C#

ice el registro de auditorBa Sistema de AuditorBa→ 9egistros del sistema y muestra el estado→ditorBa de la seguridad de 0%aluaci'n *ogQ para determinar (ue el usuario ha sidoiendo# 0s esto coherente con el prop'sito del destino 9=CW 0suridad del usuario est> configurado correctamenteW

gir Sistema de AuditorBa→ 9egistros del sistema y muestra el estado→ditorBa de seguridad del registro de e%aluaci'n#troduzca el usuarioADM23 REM%TEy ajustar las fechas para %er (uOsuario ha estado haciendo durante la Nltima semana#ne (ue comprobar la seguridad del usuario es coherente con la forma enestino 9=C se utiliza# *a seguridad de acceso para este usuariobablemente tiene (ue ser muy amplio# Si este usuario crea 'rdenes de %enta,nes de compra, datos bancarios, clientes, etc, el usuarioe tener todo el acceso necesario para completar las tareas#





M950ión( Protección de servicios de administración del sistema en los sistemas de producciónea 5ermine el 4 de usuario (ue se utiliza en los destinos 9=C#

cutar 9S9=CC@[ transacci'n a las listas de destinos 9=C el 4 de usuario#cute el informe para los destinos 9=C (ue comienzan con las letras# 0n casa usted lo ejecute para todos los destinos 9=CV a(uBlcance se reduce con fines de formaci'n#Q

gir Sistema de AuditorBa→ Configuraci'n del sistema→ 9 6 !os de comunicaci'n→ 9=C 6 SAP 9emote =unction Calls→ 9=Ctinos con los datos de inicio de sesi'n#ando se ejecuta el informe, no se ejecutan para todos los 9=Ctinos# Por el momento, entrar enA 4 a D 4.> el destino 9=C, el sistema, el cliente y el 4 de usuario#o desea, puede hacer m>s in%estigaciones para determinar c'mo cadaario est> configurado y los roles asignados a cada usuario#ea ?er (ue los usuarios pueden crear comandos e)ternos, (ue los usuarios pueden

cutar comandos e)ternos, y (ue los usuarios pueden aDadir comandos e)ternosa trabajos en segundo plano#

gir *as autorizaciones de usuario y AuditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario→ Usuarios de autorizaci'n de la transacci'n de inicio a

erminar (uO usuarios pueden crear comandos e)ternos y (ueusuarios pueden ejecutar comandos e)ternos# Para %er (uO usuarios pueden crear,r (uO usuarios tienen c'digo de transacci'n S 7;# Para %er (uO usuarios puedencuci'n, bus(ue el c'digo de transacci'n S <;#

gir *as autorizaciones de usuario y AuditorBa→ nformaci'n del sistemauarios y Autorizaciones→ Usuario→ Usuarios por $ransacci'n nicioorizaci'n#a Usuario campo, introduzca4 GRP-# #. 0n la C'digo de transacci'n campo,ar"M:2.hay usuarios tienen acceso a S 7;#

ita el procedimiento para S <;# Usted debe obtener los mismos resultados#ntinNa en la p>gina siguiente033 S/* /, Todos los derechos reser1ados




ice la misma metodologBa para determinar (uO usuarios pueden aDadir e)ternomandos para trabajos en segundo plano# Para encontrar esta mirada a los usuarios con acceso

9I* A4 y S *5" C5 #

ice el informe Usuario→ *os usuarios de las autorizaciones y buscar todosusuarios (ue tienen acceso a S 9I* A4 #

SA4 "9P-T T tiene acceso a S 9I* A4 # 0sto probablementenifica (ue este usuario puede agregar comandos e)ternos para trabajos en segundo plano#

ice el informe de nue%o para %er si alguien tiene acceso a S *5" C5 # objeto se e)ija autorizaci'n para el trabajo en segundo plano paracutar un comando e)terno#ea @

%ise la configuraci'n por defecto de SAP para *as autorizaciones CrBticos# 0n particular,ga en cuenta la inclusi'n deR S A4 =C4# X0st> de acuerdo con estosomendacionesW XPor (uO o por (uO noW Si el tiempo lo permite, la in%estigaci'n de la otraetos incluidos en esta lista#

gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'n yautorizaciones→ Usuario→ Usuario con las autorizaciones crBticos a la in%estigaci'najustes para S A4 =C4#ntinNa en la p>gina siguiente




M950ión( Protección de servicios de administración del sistema en los sistemas de producciónice el informe 5bjetos de autorizaci'n→ 5bjetos de autorizaci'n por nombre

a comprender los %alores de autorizaci'n pre%istos en el informe#

gir *os usuarios y las autorizaciones de auditorBa→ *os usuarios del sistema de informaci'nutorizaciones→ Usuario→ Usuario con las autorizaciones CrBticos#gir ostrar Crit# Comb ##ontrar S A4 =C4 y obser%e los %alores de autorizaci'nporcionado# Usted debe %er los siguientes %aloresR

&A4A4P ?P59 PA4P$4

& :a entender lo (ue significan estos %alores, seleccione 4e usuario yautorizaciones de AuditorBa→ Sistema de informaci'n y autorizaciones→

etos de autorizaci'n→ 5bjetos de autorizaci'n por el nombre del objeto#rar " ADMI 6$D. 0jecute el informe#gir 4ocumentaci'n#la documentaci'n para descubrir el significado de laores de autorizaci'n#

t> de acuerdo con la configuraci'n en el informeW XPor (uO o por (uO noWpuestaR @able con la persona sentada junto a usted (uO cree%alores proporcionados por SAP en el informe *as autorizaciones son crBticosnos %alores se deben buscar en un entorno de producci'n# 4iscutir c'mod lo ha establecido en el paBs, o lo (ue lo recomendarBa#




dad 4( Seguridad de los Sistemas de ProducciónM950sumen de la lecciónora deberBa ser capaz deRemostrar c'mo asegurar el proceso de fondoiscutir la seguridad de carrete y el proceso de impresi'nescribir la forma de garantizar eficazmente el acceso al sistema operati%odentificar las necesidades de seguridad para las descargas de escritorio y archi%o de programae entrada 6 salidae(uisitos de 0structura de seguridad para interfaces de comunicaci'normación relacionadaP &ote ? ??<7R *oteR S 3$C@ 53 objeto de autorizaci'n,

3$C@ &AP &ote ??;?<ZR Autorizaciones colaP Security "uide 8olumen R nterfaces de comunicaci'nr%ice#sap#com 6 securityguideQ




M950men de la unidadsumen de la unidadora deberBa ser capaz deRescribir el paisaje de gesti'n de cambios, procedimientos y herramientasue proteger sus sistemas de producci'n de autorizado o no probadoambiar dentificar los sistemas asegurados y clientes contra autorizado o no probadoambiar escribir los beneficios de un sistema de control de calidad y la aprobaci'n del control de laberaci'n de los cambios en la producci'nemostrar c'mo asegurar el proceso de fondo

iscutir la seguridad de carrete y el proceso de impresi'nescribir la forma de garantizar eficazmente el acceso al sistema operati%odentificar las necesidades de seguridad para las descargas de escritorio y archi%o de programae entrada 6 salidae(uisitos de 0structura de seguridad para interfaces de comunicaci'normación relacionada

R66ser%ice#sap#com6ti infraestructura tecnol'gicaQR66ser%ice#sap#com6net+ea%er 033 S/* /, Todos los derechos reser1ados

@



men de la unidadM950





al e su conocimientoP recomienda una infraestructura de sistemas de tres ni%eles incluyendoarrollo, control de calidad y producci'n#rminar si esta afirmaci'n es cierta o falsa#daderoso

iones de cliente cambio siempre debe establecerse en &o se permiten cambios#rminar si esta afirmaci'n es cierta o falsa#daderoso

P no proporciona un procedimiento de aprobaci'n para los cambios de control de calidad sone a producci'n#rminar si esta afirmaci'n es cierta o falsa#daderoso

4 de usuario utilizado en la 9=C destino debe ser un usuario de di>logo#rminar si esta afirmaci'n es cierta o falsa#daderoso

eto de autorizaci'nS 3$C@ &A S 3$C@ &Ase utiliza parateger lo (ue los nombres de los pasos de trabajo est>n programadas para ejecutarse en#e los espacios en blanco para completar la frase#033 S/* /, Todos los derechos reser1ados



e su conocimientoM9504spuestas

P recomienda una infraestructura de sistemas de tres ni%eles incluyendoarrollo, control de calidad y producci'n#puestaR 8erdaderoP recomienda una infraestructura de sistemas de tres ni%eles#

iones de cliente cambio siempre debe establecerse en &o se permiten cambios#puestaR =also

ende del medio ambiente# 0n la producci'n del cliente y sistemas de pruebaiones de cambio se debe establecer en &o se permiten cambios#

P no proporciona un procedimiento de aprobaci'n para los cambios de control de calidad sone a producci'n#puestaR =alsoP proporciona un procedimiento de aprobaci'n de control de calidad basado en las autorizaciones#

4 de usuario utilizado en la 9=C destino debe ser un usuario de di>logo#puestaR =also4 de usuario en el destino 9=C &5 debe ser un usuario de di>logo# *oe ser una comunicaci'n o el usuario del sistema#

3$C@ &A 5bjeto de autorizaci'n se utiliza para proteger los nombres (uepasos de trabajo est>n programadas para ejecutarse en#

puestaR S 3$C@ &A3$C@ &A determina (uO nombres se pueden utilizar cuando tieingos de trabajo para los 4 de usuario#




M950men del cursosumen del cursoora deberBa ser capaz deR

ntificar y proteger los datos confidenciales en el sistema de producci'nmuestre el uso del Sistema de nformaci'n de AuditorBa a la estructura y

izar una auditorBa de seguridad completa

nfiguraci'n est>ndar de SAP herramientas de mantenimiento del papel para producir ecBficos de la empresa, con seguridad mejorada roles y perfiles de autorizaci'ngurar mecanismos de gesti'n del cambio en el sistema de producci'najesgure las herramientas de administraci'n del sistema contra el uso indebido


R66ser%ice#sap#com6securityR66ser%ice#sap#com6securityguide033 S/* /, Todos los derechos reser1ados



men del cursoM950




Ap ndice 'encia de Administración de >anco de tra$a6o , licencia

Servicios de Auditor)a1 SAP AGura 3?( +icencia de Administración de >anco de tra$a6o033 S/* /, Todos los derechos reser1ados



ndice '( Mesa de tra$a6o de administración de licencias , +icense Services Auditor)a1 SAP AGM950ura 3@( Contenidosura 33( <strategia +<




M950ndice '( +icencia Administración de >anco de tra$a6o , licencia de Au

Servicios dición de SAP AGura 39( +< disponi$ilidadura 90( Re;uisitos para la +e,ntorno de trabajo de administraci'n de licencia tambiOn est> disponible para el componenteductos, por ejemplo, SAP 3/, SAP AP5 y m>s# 0n el SAP Ser%ice

etplace, todas las %ersiones de componentes indi%iduales y sus correspondientes SAPmunicados de base, incluido el banco de trabajo de administraci'n de licencias son

merados en la siguiente direcci'nR httpR66ser%ice#sap#com6licenseauditing6licenseministraci'n de banco de trabajoa obtener m>s informaci'n sobre la copia de la 9S*A/ P*U" & informe, consulte la documentaci'nre la esa de trabajo de administraci'n de licencias#033 S/* /, Todos los derechos reser1ados



ndice '( Mesa de tra$a6o de administración de licencias , +icense Services Auditor)a1 SAP AGM950ura 9'( Recomendaciones , correcciones

%ersi'n !# 2, entregaR

P 3asis <#7C @P!< disponible en julio de 2 2QP 3asis <#74 @P2! disponible en julio de 2 2QP 3asis 7#? @P22 disponible en julio de 2 2QP 3asis 7#2 @P disponible en julio de 2 2Q

%ersi'n <# 2, entregaRura 9*( Preparaciones





Servicios dición de SAP AGura 9/( Proceso +< #ista2oura 94( Importar datos del sistema033 S/* /, Todos los derechos reser1ados

@



ndice '( Mesa de tra$a6o de administración de licencias , +icense Services Auditor)a1 SAP AGM950ura 95( Com$inar usuarios activosista de usuarios proporciona informaci'n sobre el usuario, como por ejemploR

mbre de usuario 4Qmer nombreellidoo de usuario contractualo contractual %ersi'n especialtalaci'n del nNmerombre del sistemard+are cla%eente

mina nNmero

ha de creaci'n del usuarioha del Nltimo inicio de sesi'non la informaci'n sobre los sistemas tales comoR





Servicios dición de SAP AGura 9?( Consolidar todos los datosas sobre el estadoR

de cBrculoR tipos contractuales de usuario del usuario son consistentesPlaza 9ojaR tipos contractuales de usuario del usuario no son consistentes# 8er mplo para User4 (ue esRa %ez clasificados como de solicitud 6 confirmaci'n sin %ersi'n especialtonces clasificado como Nnica base de byte doble %ersi'n especialsiones especiales deben ser iguales para un usuario - *as rectificaciones tienenhacer en el sistema de origen

ura 9@( Detalles , e"plicación de Consolidación033 S/* /, Todos los derechos reser1ados



ndice '( Mesa de tra$a6o de administración de licencias , +icense Services Auditor)a1 SAP AGM950ura 93( Mostrar resultados +<ura 99( <nviar todos los datos a SAP





Servicios dición de SAP AGura '00( Correcciones de usuario , reconsolidaciónura '0'( Me6oras +<ura '0*( +e, de Apo,o e In!ormación033 S/* /, Todos los derechos reser1ados



ndice '( Mesa de tra$a6o de administración de licencias , +icense Services Auditor)a1 SAP AGM950




Ap ndice *encia de Administración de >anco de tra$a6o

mo parte del proceso de SAP licencia de auditorBa, el programa de medici'nermina el nNmero de usuarios y motores de SAP# *os usuarios se clasificanla acti%idad de acuerdo con la guBa del sistema de medici'n# SAP entonces

alNa los resultados de la medici'n de acuerdo con las condicionesrdado en el contrato#ntroducci'n de mySAP#com ha implicado cambios permanentes en el sistemaajes# uchos sistemas m>s, como SAP 9 6 !, SAP 3/, SAP AP5,y portales, son ahora gestionados por %arios moti%os#

Administraci'n de *icencias /or bench *A/Q le proporciona un soporteante la auditorBa licencia de entornos de sistemas complejos# 0l foco principal denci'n es la consolidaci'n de los resultados de medici'n en un sistema central#o se aplica especialmente a los usuarios (ue operan en %arios sistemas#rabajo implicado en el sistema de medici'n se reduce considerablemente# Unoas %entajas m>s ob%ias es (ue los usuarios de todos los sistemas se pueden clasificar amente segNn su acti%idad# 4urante la subsiguiente consolidaci'n,s de usuarios de cada persona se enumeran y se asigna a un tipo de usuario# 0statualmente elimina el riesgo de la e%aluaci'n de una persona m>s de una %ez -ificaci'n como tipo de usuario multi-client6-system es superfluo#resultados de las mediciones se recogen y se consolida en un centro

ema, y luego se en%Ban directamente a SAP despuOs de haber sido puesto en libertad#a consolidar los resultados de la medici'n con la Administraci'n de *icenciaco de trabajo, los pasos indi%iduales debe ser lle%ado a cabo en la correctauencia#esta guBa se describen los re(uisitos pre%ios para la consolidaci'n central de usuarios, como

como el procedimiento y la aplicaci'n#9e(uisitos para el 4erecho

ease %ersi'n033 S/* /, Todos los derechos reser1ados



ndice *( +icencia Administración 7or8$enchM950

lo menos SAP 3asis 9elease <#7C para el sistema de derechomenos 3asis SAP 9elease !#?i para los sistemas componentesema central consolidaci'nQ

C0&S0 A4 & transacci'n debe estar disponible en el sistema central#> disponible en el soft+are est>ndar de SAP con el SAP /eb Application%er AS, 9elease 3ases 7,? Q#a %ersiones anteriores, la transacci'n est> disponible a tra%Os del apoyouetes# Para obtener m>s informaci'n, consulte el SAP Ser%ice ar etplace,R66ser%ice#sap#com6licenseauditing, *icencia de Administraci'nbench#emas de componentes

A/ P*U" & informe debe estar disponible en el componenteemas# 0l uso de este informe, los resultados de la medici'n se cargan enn archi%o almacenado en el PC# 0n este informe se incluye en la norma

mo soft+are de SAP /eb Application Ser%er AS, 9elease 3ases 7,? Q#a sistemas con SAP 3asis lanzamiento inferior a 7,? , se debear un nue%o informe en el espacio de nombres del cliente por ejemplo,*A/ P*U" &Q# 4esde el sistema central con el m>s recientesi'n *0F, copie el c'digo de programa de 9S*A/ P*U" & informeeste informe se ha creado#

A/ P*U" & est> integrado en el derecho del transporte, y es luegoponible en el sistema central para copiar en otros sistemas#os los 4 de usuario de una persona debe tener la misma %ersi'n especialos los 4 de usuario de una persona deben tener el e)tra de un mismo paBsos los 4 de usuario de una persona se debe crear en la base de datos de la mismae de datos de pro%eedoresuarios

9ecomendacionesos los identificadores de usuario de una persona deben tener el mismo nombre en todos los sistemas#a el uso de la *0F recomendamos el uso de un sistema aut'nomo para

probablemente en cooperaci'n con la administraci'n central de usuarios# Paraones de seguridad de datos s'lo los usuarios deben tener acceso a los responsablesa la administraci'n de usuarios y auditorBa de licencias#ey es un nue%o producto# *a actualizaci'n a tra%Os de pa(uetes de apoyo podrBan ser iza m>s r>pido y m>s f>cil mediante el uso de un sistema independiente, por ejemplo, por izando el ser%idor SAP /eb Application 7#2 #4atos del sistema de medici'n




M950ndice *( +icencia Administración 7or8$ench%ar a cabo el sistema de medici'n en todos los sistemas (ue son rele%antes paradici'n, incluyendo el sistema central transacci'n US Q#

sificar a los usuarios de todos los sistemas (ue son rele%antes para la medici'ncepto 40S y sistemas de copia de seguridadQ de acuerdo con el sistema deguBa de medida#

sificar los registros de usuario maestro utilizando su acti%idad en un sistema# &oizar un usuario multi-cliente o multisistOmica para hacer esto 4??Q#ciar la medici'n del sistema#

ga de los datos de medici'n en un archi%oa %ez (ue el sistema de medici'n se ha completado, inicie reportar 9S*A/ P*U" &#datos de medici'n para todos los clientes en el sistema actual se carga en un archi%o#

a Administraci'n *icencia /or bench procesoa el 0ntorno de trabajo Administraci'n de *icencias por transacci'n

C0&S0 A4 &# &ecesita S US09 "9P autorizaci'n para estesacci'n#

ura '0/(>lisis de Control de *icencia de Administraci'n de 3anco de trabajo enumera los pasosesaria para la consolidaci'n central de los datos de medici'nR

datos de medici'n del sistema deben ser importados en el centroema#usuarios medidos y los productos son recogidos y resumidos#datos se analizan y resumen#datos consolidados se en%Ba a SAP#




ndice *( +icencia Administración 7or8$enchM950

mportaci'n de datos del sistemaporte los archi%os de medici'n de los sistemas componentes y losos de medici'n del sistema actual en la ley#a %isi'n general de todos los sistemas importados en la pantalla#ura '04(

9esumir los usuariosa segunda etapa de consolidaci'n de usuario central, la *0F resumeusuarios del sistema# 0sto se hace de forma autom>tica sin di>logosQanualmente con di>logoQ# 0n resumen r>pido, se recomiendaupaci'n autom>tica sin di>logo#usuarios de sistemas indi%iduales pueden ser agrupados de acuerdo a la siguiente

ntenimiento de usuarios SU ?Q criteriosR

mbre de usuariombre Apellido, primero

mina nNmeromail

mero telef'nicoa la asignaci'n Nnica, recomendamos a los usuarios agrupar por nombre de usuario# 0stanifica (ue los usuarios deben ser creados con el mismo nombre en todos los sistemas#




M950ndice *( +icencia Administración 7or8$ench

ura '05(umir los usuarios

a pantalla de control de e%aluaci'n, seleccione 2# Combine los usuarioso Agrupamiento autom>tico, seleccione la categorBa y los criterios para el usuarioupar y ejecutar#ndo agrupaci'n de usuariosa comprobar los grupos de usuarios, seleccione ostrar lista de usuarios# *os resultados pueden tardar unntras (ue a aparecer, dependiendo de la cantidad de datos a ser procesados#

gir ostrar lista de usuarios en la pantalla de control de e%aluaci'n# *a Agrupaci'n de usuariotos tOcnicos del UsuarioQ Se muestra la pantalla#

ura '0?(uariombre de usuario 4Qmbre, 9&A 0 pasadoo de usuario contractualematalaci'n del nNmerombre del sistemard+are cla%e033 S/* /, Todos los derechos reser1ados

@



ndice *( +icencia Administración 7or8$enchM950uariosi'n especial Contractualargoema

entemina nNmeroha de creaci'n del usuarioha del Nltimo inicio de sesi'nista de usuarios proporciona informaci'n sobre el usuario, y en elemas en los (ue se ha creado este usuarioRAn>lisis total de datos

el tercer paso, el an>lisis total de todos los datos, el usuario contractuales deusuarios indi%iduales se consolidan#ey toma en cuenta (ue ciertos tipos de usuarios ya est>n incluidos

otros# 0sto significa (ue las licencias s'lo son necesarias para el total del usuariode usuario#

>lisis $otala pantalla de control de e%aluaci'n, seleccione !# An>lisis total de todos los datos#

ura '0@(a %ista general, *a consolidaci'n de los resultados de los sistemas incluidos, se muestra#ura '03(nificado del estadoR

de cBrculoR tipos contractuales de usuario del usuario son consistentes#




M950ndice *( +icencia Administración 7or8$ench

Plaza 9ojaR tipos contractuales de usuario del usuario no son consistentes#mploR &utzer C se clasifica como operati%o, con %ersi'n especialle byte, y como usuario de la informaci'n sin una %ersi'n especial#a una e)plicaci'n de la composici'n del usuario, elegir 0)pli(ue c>lculo#ura '09(

ostrando resultadosa pantalla inicial, elija !# An>lisis total de todos los datos para %er la listasolidaci'n de los resultados de todos los sistemas de derecho#los resultados consistentes con los tipos de usuario contractuales se en%Ban a SAP#rija los tipos de usuario inconsistentes en el sistema de origen y reiniciar usuariosolidaci'n 2, CorreccionesQ#n%Bo de datos a SAPa %ez (ue finaliza la consolidaci'n, en%Be los datos a SAP# 0l transporte de datosjecuta a tra%Os del Ser%icio de Control de 4atos Center S4CCQ# 0sto se debe acti%ar ota SAP ?Z\7!?Q#a lle%ar a cabo la transferencia de datos, necesita autorizaci'n S S4CC S098 #a pantalla de control de e%aluaci'n, seleccione <# 0n%iar a SAP

ura ''0(ida si desea en%iar sus comentarios inalterada con elultados#033 S/* /, Todos los derechos reser1ados



ndice *( +icencia Administración 7or8$enchM950ura '''(a barra de estado, aparece un mensaje indicando (ue la transferencia de los datos de medici'nido programado correctamente# Compruebe el estado de la transferencia de datos ensta de transferencias#registrodatos de medici'n transferida est> disponible como una lista de fa)# 0n la primeratalla, seleccione *os datos de medici'n→ 0n%iar datos a SAP→ Crear registro de fa)#Correccionesusuarios medidos se pueden corregir s'lo en el sistema de origen#

rija la clasificaci'n de usuario en el sistema de origen, y empezar a sistemadici'n#mience reportar 9S*A/ P*U" & y cargar los datos de medici'n enPC#porte los datos de las mediciones corregidas, y continuar resumiendousuarios 2#?#?Q# Apoyosted tiene alguna pregunta sobre el banco de trabajo de administraci'n de licencias,

ar un mensaje en el SAP Ser%ice ar etplace en el componente09-*AS#




ndiceeder a los archi%osontrol, 2Z;eder a las tablasontrol, ;7eder a los c'digos de transacci'nontrol, ;<-;eso a las transacciones,blas y programasaminos de menN, ;!S, 8Oase AuditorBa de nformaci'nrta monitor, Z2icador de estado de alerta, de Z2istro de aplicaci'n, ?2orme de auditorBa an>lisis, 77, 7\ditorBa del Sistema de nformaci'nA SQe usuario de auditorBa, de !\mpresa de auditorBa, 2\efinici'n, ?2ocumentaci'n, 2\escarga de consulta =

datos, !yuda en lBnea, !epositorio 6 esas de auditorBa,

onfiguraci'n, !<istema de auditorBa, 2\-2;, !Zpos de usuarios, !\

os usuarios y losautorizaciones de auditorBa,2;ditorBa del Sistema de nformaci'npeles, 2\, !mpresa de auditorBa, de !!apel compuesto, !<istema de auditorBa, !?, !!tem A SQditorBa del Sistema de nformaci'nnfiguraci'n, !<tenido del registro de auditorBa, itorBa y registro, 7de auditor, ?Z;$59 4A4-C@0C[ claraci'n, 2!;orizaci'n de %erificaci'n

dicador, ?72zones para apagar, ?7?eto de autorizaci'n

$C540, ;C$S A4 , 2<4080*5P, ? 7P95"9A , ?$A3 4 S, ;7$A3U 4 S, ;Z$C540, ;$9A&SP9$, 2<

etos de autorizaci'nra el desarrollo ynsporte, 2<puestas de autorizaci'n,7tecci'n autorizaci'n, 7

bajos en segundo planoutorizaci'n ajecutar, 2 ;



utorizaci'n para incluir omandos e)ternosprogramas, 277ear con la transacci'n

!7, 2 \omandos e)ternos en,7rogramas e)ternos,7033 S/* /, Todos los derechos reser1ados



ceM950ontrolar con S !Z,2 \, 272apel SAP utilizado paraadministrar, 27!rogramar con SA!\, 2 \cceso seguro a, 2 \4 de usuario especBficas para, 27?cesamiento en segundo planobjetos de autorizaci'n,2 \, 27<orizaciones b>sicosantilla, 2\Zpresa de auditorBa, 2\, !!

S, 8Oase nform>ticatralizado de seguridad, ?;

mbiar y $ransportegistros del sistema, ?!\

mbiar el documentoructura, ?2;dificar los documentos deuarios, ?\;umentos de registro de cambios, ?2;ti'n del cambio yguridadsta de control, 2<aminos de menN, 227, 2<Za de %erificaci'ngesti'n del cambio

y la seguridad, 2<ontrolar el acceso ac'digos de transacci'n,ablas y programas,

? Zersonalizar papel

mantenimiento de herramientas,?7<uper%isar las aplicacionescon los registros, ?<2egura de los usuarios y gruposadministraci'n, 2 !

%erifi(ue el registro de auditorBa yCC S alertas de seguridad,Z7ntro de "esti'n detem CC SQi'n de cambio de cliente,

-2!7

nspector de c'digo, 2<7mputing Center istema de "esti'n deCC SQlerta monitor, Z2lertar beneficios de monitor,Z7lertar a las funciones del monitor,Z2

monitoreoar(uitectura, Z!trolar el acceso a la transacci'ndigos, tablas yogramassta de control, ? Ztrolar el acceso aansacciones, tablas,programasaminos de menN, ? Zgos personalizados de transacci'n,2



sonalizar papelantenimiento de herramientassta de control, ?7<sonalizar papelerramientas de mantenimientoaminos de menN, ? !, ?7<

gridad de los datos, proteger, 22\uridad descentralizada, ?;eso directo a las tablas, ;7ro din>mico, 7?

mando e)ternoutorizaci'n ajecutar, 2ZZear con la transacci'n

7;, 2Z7efinici'n, 2Z7ecutar con la transacci'n

<;, 2Z7




M950ceitar la autorizaci'nra mantener connsacci'n S 7;, 2ZZ

rar din>mica, de 7?

\ est>tico,

informe de registro, ?<?

asmaneras de descargar, 2Z\

traseDasrohibir el uso de cierto,

C", \torizaciones P=C", ?!nN P=C", ;uridad de la impresora, 2Z2

presi'nbjetos de autorizaci'n,Z!

>metros del perfil, 2jecuci'n del programaontrol, ?

minos de menNgesti'n del cambiola seguridad, 227, 2<Zntrolar el acceso aansacciones, tablas,programas, ;!, ? Zrsonalizar papelerramientas de mantenimiento,

!, ?7<per%isar las aplicacioneson los registros, ?2<, ?<2tema segurodministraci'n, 2 Ztema seguro

dministraci'ner%icios, 2\;gura de los usuarios y gruposdministraci'n, ?Z;,

!rramientas de auditorBa de seguridad, de ! aDos,Zer%isar las aplicaciones conistrosta de control, ?<2minos de menN, ?2<, ?<2

cedimiento de aprobaci'n de control de calidad,

%eles de aprobaci'n, 2!?nfigurar por defecto

probaciones, 2!?finir el sistema de control de calidad, 2!?comendado por SAP,2

nfiguraci'n, 2!?mada a funci'n remota 9=CQstino, 2\?suario actual, 2\<er autorizaci'n, 2\4 de usuario, 2\!ositorio 6 esas de auditorBa, !



C cone)iones y $ Scenarios, 2\7C destino, 8Oaseel herramienta de mantenimiento

$ransacci'n P=C"Q, \mada a funci'n remota=CQ de destino

C$S A4 , 2<utorizaciones, 2<2

%alores de campo, 2<?4080*5P, ? 7, 2<ampos, ? 7*5" C5 , 2<

$C540, ;>metrosilizado para la contraseDahe(ues, 2 ?033 S/* /, Todos los derechos reser1ados



ceM950P95"9A campos, ?$A3U 4 S, ;7-;\$C540, ;$9A&SP9$, 2< , 2<%alores de campo, 2<utorizaciones de papel, 2<?P 3usiness /or flo+unciones de an>lisis, ?2\ema segurodministraci'naminos de menN, 2 Zema segurodministraci'n de ser%iciosirectrices, 2\;aminos de menN, 2\;ura de los usuarios y gruposdministraci'nsta de control, 2 !aminos de menN, ?Z;, 2 !uridad del registro de auditorBaescripci'n, <ar>metros de archi%o, 7iltros, <, Zo (ue se registra, <ramientas de auditorBa de seguridadaminos de menN, !, ZZtroles de seguridad antes deigraci'n, 2!;olBtica de seguridad, reguntas dirigidas por,Z

uisitos de seguridad, %icios de seguridade la auditorBa ytala, 7e autorizaci'nprotecci'n, 7ara la autenticaci'n de usuario,7figuraci'n de cambios, 2!<arios especiales en SAPtema, ?;Zro est>tico, \ema de administraci'nutorizaci'n para, 2\\rectrices para proteger

ser%icios, 2\;ema de auditorBa, 2\-2;, !!

gesti'n del cambioy la seguridad, 22ema de opci'n de cambio, 2!<ema de paisaje, 8Oasefiguraci'n del sistema de paisaje,<ema de auditorBa de seguridadmas considerados, Zerramientas, \ema de herramienta de seguimientoansacci'n S$ ?, ?;!etos crBticos del sistema, 2<!ema de tres ni%eles paisaje

mbios tabla de registro, ?!2>metros de la tabla de tala,!ema de tres ni%eles paisajeefinici'n, 227

%entajas de seguridad,22Z



SA4 , 2<2, 2\7gos de transacci'nersonalizar los informes,? 2gado a acciones, ;!

nsacci'n protecci'nbjetos de autorizaci'n,;

nsacci'n SA!\, 2 \ontrolar el acceso a, ? 2ecomendaciones paraasegurar, 277roblemas de seguridad con, ? ?

nsacci'n S !7, 2 \nsacci'n S !Z, 2 \,72-27!nsacci'n S <;, 2Z7nsacci'n S 7;, 2Z7-2ZZnsacci'n S$ ?, ?;!nsacci'n SU2<, ? !-? <ambiar los %alores predeterminados,? \




M950ceestionar las autorizaciones,

ducir el alcance deomprobaci'n de autorizaci'n,7?

nsportebjetos de autorizaci'n,<

utomatizar, 2!2rectorio, 227, 22\alizar, 2!Zoles yesponsabilidades, 2!\uta, 2!Zciones de transporte, 2!\istro del sistema de transporte, ?!\bjeto de autorizaci'nnformes, ?\\formes de autorizaci'n,\\formes de comparaci'n, ?\\

omponentes, ?Z;%isi'n general de los usuarios, ?\

formes de perfiles, ?\\formes de papel, ?\Zportes de operaciones, ?\\formes de los usuarios, ?\?ndeR se utiliza la listanformes, ?\;nNs de usuario, ?2arios y autorizacionesditorBa, 2;

ministraci'n de usuariosbjetos de autorizaci'n,

;?scenarios, ?;ario y el registro de autorizaci'n,

enticaci'n de usuario, 7nual de Sistema de nformaci'n

rifi(ue el registro de auditorBa y CC Sertas de seguridadsta de control, Z7

=lo+ motor, ?2Z=lo+ registro, ?2Z033 S/* /, Todos los derechos reser1ados



ceM950


ADM950 - Secure SAP System Management.en.ES

Documents

Transcript of ADM950 - Secure SAP System Management.en.ES