View
119
Download
0
Embed Size (px)
Citation preview
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Conceptos bsicos y Seguridad
Barcelona, febrero de 2010
Auditora.Fiscal y Legal.Consultora.Asesoramiento Financiero.
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Introduccin a los ERPs
Introduccin a SAP R/3
Navegacin por SAP R/3
Autorizaciones
Seguridad en SAP
Feedback & Sum up
Contenido
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Introduccin a los ERPs
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Concepto de ERP
ERPEnterprise PlanningResource
Planificacin de los Recursos de la Empresa
Sistema de Informacin que integra diversas funciones de negocio(administrativas, financieras, logsticas, distribucin, produccin ...)
Se extiende horizontamente a travs de las funciones del negocio de la Compaa y verticalmente a travs de la cadena de procesos de abastecimiento
(supply chain).
Ejemplo. Nmina 1 Recurso -RRHH Funcin en organizacin-Administracin Gestin Pago-Financiera Planificacin Pago-Produccin Unidad de trabajo
Mltiples funciones de negocio
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Market Share
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Por qu implantar un ERP?
Falta de integracin
Mayor eficacia2. Reduccin Tiempos
1. Reduccin CostesMenos personal
Ineficiencias operativas
2. Difcil mantenimiento de
soluciones separadas
1. No comunicacin
Falta de informacin
para tomar decisiones
Incapacidad del
Software para soportar
expansin internacional
Inexistencia de entornos
diferenciados (desarrollo,
test, integracin)
2008 Deloitte2010 Deloitte. Todos los derechos reservados
El lado complejo de una implementacin de ERP
Implementaciones largas y costosas
Personal de IT cualificado
Proceso de seleccin dificultoso
Tecnologa muy compleja
Estar dispuesto a simplificar procesos de negocio
Administracin del cambio (Aspectos culturales)
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Principales implicaciones del cambio de un sistema
CAMBIAR LOS
SISTEMAS DE
INFORMACION,
GENERALMENTE
IMPLICA
Importantes cambios
culturales
Rediseo de los
controles claves
Incorporacin de un nuevo
entorno tecnolgico con
nuevos riesgosRedefinicin del
esquema de
Autorizaciones
Reasignacin de
tareas y funciones
Cambios
significativos en los
procesos
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Introduccin a SAP/R3
2008 Deloitte2010 Deloitte. Todos los derechos reservados
SAP AG y SAP R/3
EMPRESA
SAP AG
SAP = Systemanalyse,
Anwendungen und
Programmentwicklung
PRODUCTOS
SAP R/3
SAP ECC
SAP Enterprise
mySAP
SAP Business One
SAP Netweaver
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Que es un ERP?
11
Entorno de un ERP
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Versiones
SAP R/3 3.1I (julio 1992)
SAP R/3 4.0b (marzo 1998)
SAP R/3 4.5b (marzo 1999)
SAP R/3 4.6b (diciembre 1999)
SAP R/3 4.6c (abril 2001)
SAP R/3 Enterprise 4.7 (Diciembre 2003)
mySAP ERP Netweaver 04 ECC 5.0 (2004)
mySAP ERP Netweaver 2004 ECC 6.0 (2005)
12
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Mdulos SAP R/3
SAP R/3
FI
CO
SD
MM
PP TR
PS
WF
IS
QA
PM
HR
Sales & Distribution
(Ventas)
Materials Management
(Compras)
Product Planning
(Produccin)
Quality Assurance
(Calidad)
Plant Maintenance
(Mantenimiento)
Human Resources
(RRHH)
Financial Accounting
(Finanzas)
Cost Accounting
(Controlling)
Project Systems
(Proyectos)
WorkFlow
Industry Solutions
(Soluciones Verticales)
Treasury
(Tesorera)
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Mdulo FI - Financial
El mdulo de FI satisface todas las necesidades del departamento de gestin
financiera de una empresa. Algunas de sus funcionalidades son las
siguientes:
Gestin y representacin de todos los datos de contabilidad.
Flujo de datos abierto e integrado, asegurado por actualizacionesautomticas.
Disponibilidad de datos en tiempo real y sincronizacin de las cuentasauxiliares con la contabilidad del libro mayor.
Preparacin de informacin operativa para ayudar a la toma de decisionesestratgicas.
La integracin de FI con otros mdulos garantiza que se reflejen exactamentelos movimientos logsticos de mercancas en las actualizaciones de
contabilidad basadas en valor.
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Mdulo CO - Controlling
El mdulo de CO proporciona la informacin para facilitar las decisionesde gestin. Facilita la coordinacin el control y la optimizacin de todos
los procesos de una empresa.
La tarea principal del mdulo de CO es la planificacin. Puede detectardesviaciones mediante la comparacin de datos reales con datos de
planificacin.
Las cuentas de explotacin se utilizan para controlar la rentabilidad dereas concretas de una organizacin o de la organizacin completa.
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Mdulo MM Material Management
El mdulo MM da soporte a todas las fases de gestin de materiales:
planificacin de necesidades y control, compras, entradas de mercancas,
gestin de stocks y verificacin de facturas. Est compuesto, entre otros,
por los siguientes subcomponentes:
Planificacin de necesidades sobre consumo (MM-CPB)
Compras (MM-PUR)
Gestin de Servicios (MM-SRV)
El mdulo SD da soporte a todas las fases de ventas y distribucin. Est
compuesto, entre otros, por los siguientes subcomponentes:
Funciones bsicas (SD-BF)
Ventas (SD-SLS)
Facturacin (SD-BIL)
Comercio exterior / Aduanas (SD-FT)
Mdulo SD Sales and Distribution
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Mdulo HR Human Resources
El mdulo HR comprende distintos procesos como la planificacin de
recursos necesarios, el reclutamiento y la seleccin, la gestin del personal,
la liquidacin de haberes el desarrollo del personal y la capacitacin. Est
compuesto, entre otros, por los siguientes subcomponentes:
Gestin de Personal (PA)
Gestin de Tiempos (PT)
Clculo de nmina (PY)
El mdulo BI ofrece las funcionalidades necesarias para una perfecta
integracin de la informacin en toda la empresa. Este mdulo incluye las
siguientes funcionalidades:
Data Warehousing
Inteligencia de Negocios
Insight de Negocios
Capacidades de Gestin y Medicin
Mdulo BI Business Intelligence
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Navegacin por SAP
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Navegacin SAP
1. Estructura Cliente/Servidor
2. Conexin al Sistema
3. Accesos a SAP
4. reas de pantalla
5. Barra de mens
6. Transacciones
7. Modos
8. Ayuda sobre campos
9. Ayuda sobre errores
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Estructura Cliente/Servidor
Ordenador
Central SAP
Limitaciones:
Acceso remoto Recursos compartidos
Eg. ACME
SAP GUI
SERVIDOR
SAP
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Conexin al Sistema
1. Identificar
Acceso Directo
a SAP
2. Preguntar cul
es el entorno de
Produccin
4. Introducir datos
de acceso
3. Aceptar
Entornos normales:
1. Desarrollo nuevos programas2. Test pruebas3. Produccin - real
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Conexin al Sistema (ii)1. Nmero de mandante
(por defecto el de
produccin)
2. Insertar usuario y
contrasea
3. Idioma (por defecto ES Espaol)
2008 Deloitte2010 Deloitte. Todos los derechos reservados
reas de pantalla
Barra de mens general
Barra de iconos general
Barra de tareas (propia de cada
pantalla)
Barra de mens de informes
Ejecucin de
transaccin
Informacin del
sistema
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Barra de mens de informes
Transaccin: Cada punto del
men, ie, acceso a un informe
El nombre est definido por un
cdigo nico
Eg. ME23N da acceso al informe
Mostrar rdenes de compra
Existen 2 tipos de transacciones:
1. A medida desarrolladas por la propia empresa. Empiezan por las letras Z o Y.
2. Estndares en todos los sistemas SAP con el mdulo instalado.
Utilizables en varios clientes
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Ayuda sobre campos
1. Posicionar
Cursor
2. Presionar
tecla F1
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Ayuda sobre errores
Hacer doble
click
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Seleccin
Campos de SeleccinEjecutar
Ayuda
Campo obligatorio Campo optativo
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Listados
Ejemplo informe Movimiento de materiales
1. Seleccionar
campo
Dobleclick para
ver documento
2. Ordenar
ascendente y
ascendente
2. Realizar sumatorios
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Informes tiles
1. Visualizar Activos Fijos AS03 / AW01N
2. Balance y P/L F.01
3. Visualizar Partidas FBL3N
4. Aging Clientes S_ALR_87012167
5. Aging Proveedores S_ALR_87012077
6. Visualizar Saldos de Mayores FB10
7. Saldos con Clientes FD10N
8. Saldos con Proveedores FK10N
9. Visualizar Asientos Contables FB03
10. Movimiento de Existencias MB51
11. Inventario Fsico MMBE
12. Visualizar Pedidos de Compras ME23N
13. Entrada de Compras MB03
14. Visualizar Facturas de Compras MIR4
15. Visualizar Pedidos de Ventas VA03
16. Visualizar Entregas de Mercancas de Ventas VA03
17. Visualizar Facturas de Ventas VF03
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Modelo de autorizaciones SAP
2008 Deloitte2010 Deloitte. Todos los derechos reservados
rbol de autorizaciones
User 1
Profile 1 Profile 2 Composite
Profile 1
Composite
Profile N
Profile 3 Profile N
Authorization 1 Authorization 2 Authorization N
Value Value
2008 Deloitte2010 Deloitte. Todos los derechos reservados
rbol de autorizaciones: wallet approach
Un OBJETO DE AUTORIZACIN es como un billete de avin en blanco
Desde:
Hasta:
Fecha:
los campos estn vacos. Pero sigue siendo un billete de AVIN. Si t quieres ir en BUS debes utilizar otro tipo de ticket!!!!!
2008 Deloitte2010 Deloitte. Todos los derechos reservados
rbol de autorizaciones wallet approach (2)
Una AUTORIZACIN es el conjunto de valores que se informan en el ticket. Dependiendo de
las necesidades del usuario, puede definirse valores especficos (accesos restringidos)
o no tener casi restricciones (derechos amplios de acceso)
Desde: Barcelona
A: Roma
Fecha: 08.02.2008
Desde: Barcelona
A: Madrid
Fecha: *.*.2008
como un billete abierto (puente areo)
2008 Deloitte2010 Deloitte. Todos los derechos reservados
rbol de autorizaciones wallet approach (3)
Un PROFILE es como una cartera
que puede contener diferentes billetes (OBJETOS DE AUTORIZACIN):
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Profile 1 Profile 2 Profile 3 Profile N
rbol de autorizaciones wallet approach (4)
Las personas pueden tener diferentes carteras
igual que en SAP, donde los usuarios pueden tener mltiple PROFILES
2008 Deloitte2010 Deloitte. Todos los derechos reservados
rbol de autorizaciones: practical approach
Objeto de AutorizacinAutorizacin
Actividad restringida a 01 y 06
Status profile no restringido
* = wildcard
Una AUTORIZACIN es un conjunto de valores para un OBJETO DE AUTORIZACIN dado
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Authorization tree: practical approach (2)
Una AUTORIZACIN tiene 2 grupos de campos:
Activity define QU puede hacer el usuario 01=create 02=change 03=display 06=delete 07=activate 08=display change documents
Domain define DNDE puede el usuario hacerlo. Company Code Plant Authorization Group
2008 Deloitte2010 Deloitte. Todos los derechos reservados38
Authorization
Objects:
Authorizations: Composite
Profiles (or Roles):
Profiles (or
Roles):
Users:
La configuracin de la seguridad es muy compleja!!
Concepto de autorizacin
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Perfiles y roles potentes
SAP_ALL
Perfil de superusuario
Dispone de autorizacin para ejecutar todas las transacciones, es decir, dispone de todos los objetos de autorizacin y sus respectivas autorizaciones
Debe restringirse su uso al nmero mnimo de usuarios imprescindibles: administrador del sistema y usuario de urgencia
El usuario administrador debe ser monitorizado y revisado
El usuario de urgencia debe estar bloqueado y su contrasea debe custodiarse de forma confidencial
SAP_NEW
Garantiza el acceso a todas las nuevas autorizaciones cuando se realiza un upgrade del sistema y se introducen nuevos objetos de autorizacin
Una vez implementado el upgrade, se deben revisar estos perfiles y BORRAR aquellos que no sean necesarios
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Seguridad en SAP
2008 Deloitte2010 Deloitte. Todos los derechos reservados
SAP Review Components
SAP
Environment
Basis
Component
Business
Cycles
Technical
Infrastructure
Interfaces &
Conversions
2008 Deloitte2010 Deloitte. Todos los derechos reservados
DATABASE
SECURITY
NETWORK
SECURITY
WORKSTATION
SECURITY
OPERATING
SYSTEM
SECURITY
SAP
APPLICATION
SECURITY
Componentes del entorno SAP
2008 Deloitte2010 Deloitte. Todos los derechos reservados
SAP Servicios de seguridad
Autenticacin de usuario
Complejidad de contraseas
Autenticacin basada en Single Sign-On y en Smart Card
Bloqueo por intentos de acceso fallidos
Concepto de autorizacin
Authority Checks
Profile Generator
Authorization Infosystem
SAP proporciona las siguientes herramientas o servicios para implantar las medidas y requerimientos de seguridad adecuados:
CUA & SLM module: administracin de usuarios
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Seguridad a nivel de Red
SAProuter
Secure Network Communications (SNC)
Mecanismos Secure Store & Forward (SSF) y Firma Digital
Registro de logs y Auditora
AIS: Audit Information System
Security Audit Log
MIC: Management of Internal Controls (aplicacin)
Aplicaciones de Seguridad por Internet
SAP Servicios de seguridad (continuacin)
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Parmetros de seguridad
Parmetros de seguridad en SAP
Lmites de intentos de acceso
Control sobre clientes por defecto y a nivel de men
Longitud de contrasea y expiracin de la misma
Time out: bloqueo por inactividad
Robustez de contraseas
Limitacin en la capacidad de buffer a nivel de usuario
Rastreo de autorizaciones (logs)
Profile generator
Authorization checks
S_TCODE checks
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Tareas del administrador de seguridad
Algunas de las tareas de administracin de la seguridad de SAP
incluyen: Crear o actualizar los registros maestros de usuarios de SAP
Crear y mantener los profiles de SAP y sus autorizaciones
Mantener trazabilidad sobre accesos a los registros maestros de usuarios y las
modificaciones realizadas
Resetear passwords y bloquear y desbloquear usuarios
Realizar pruebas de aceptacin de nuevos perfiles y autorizaciones de usuarios
Administrar los parmetros de seguridad de SAP
Generar y actualizar documentacin referente a seguridad (polticas y
procedimientos)
Monitorizar y analizar los parmetros de seguridad de acuerdo con la polticas y
procedimientos de seguridad
Analizar los efectos de los upgrades de sistemas en cuanto a la seguridad se refiere
e implementar los cambios necesarios
SAP dispone de un sistema centralizado para la parametrizacin de la
seguridad.
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Parmetros de seguridad
Automatic Terminal Inactivity Logout
Number of seconds of inactivity before automatically disconnecting inactive users from the system
Unsuccessful Logon Attempts
Number of unsuccessful attempts at logon that are allowed before the users session is terminated
Failed Logon Attempts with Lock Out
Number of times a user can enter an incorrect password before the system locks the user against further logon attempts
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Minimum Password Length
Minimum number of characters that must be used for a password
Password Change Frequency
Number of days after which a password must be changed
External Security
Specifies whether an external security tool (e.g. Kerberos) is used
Parmetros de seguridad
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Parmetros adicionales existentes en las ltimas versiones de SAP
Implementar polticas de complejidad de contraseas (alfanumrico, maysculas, carcteres especiales)
Restringir sesiones (GUI) concurrentes de usuarios
Tabla de palabras prohibidas como contrasea
Parmetros de seguridad
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Mandante 000:Este mandante es suministrado por SAP como mandante base. Este mandante estacompuesto por el modelo de la compaa. Slo deben tener acceso los consultores BASIS,en el caso que deban realizarse tareas de instalacin o mantenimiento. A menos que seaespecificado por SAP, nunca se debe acceder a este mandante.
Mandante 001:Este mandante tambin es suministrado por SAP. Se utiliza como base para generar losnuevos mandantes. Al igual que el mandante 000, este mandante nunca debe sufrirmodificaciones.
Manante 066: Este es un mandante especial para el programa EarlyWatch de SAP. Seutiliza para permitirle a SAP el acceso al sistema de produccin (no al mandanteproductivo), con el objeto de evaluar la eficiencia del sistema y hacer recomendacionesapropiadas con respecto a la performance de ste.
Mandante Preconfigurado (en general, el 100): Este es un mandante que tiene unaserie de funcionalidades preconfiguradas, cuyo objetivo es reducir los tiempos deimplementacin de SAP.En la mayora de las compaas este mandante se ha tomado como base para la creacinde los nuevos mandantes.
Mandantes por defecto en SAP
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Default Clients
SAPSystem
Client 001 Client 066
Client 000
Cuando el SAP es instalado, por defecto se crean los clientes: 000, 001, 066
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Default Users
SAP*
SUPERUSUARIO
DDIC
Usuario para la administracin de la BD
SAPCPIC
Usuario de comunicacin con sistemas perifricos (usuario de interfase)
EarlyWatch
Usuario interactivo (Reporte SAP) en el cliente 066
Todos los usuarios por defecto (a excepcin del EarlyWatch) son creados en
todos los clientes con passwords por defecto
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Tipo de usuariosDilogo A
Usuario interactivo de sistema.
Debe ser nominativo o perfectamente asignable a un usuario en concreto
No debera permitirse el mltiple log on
Sistema: B o C
Usuario de comunicaciones y de interfaz con otros sistemas perifricos (RFC o CPIC) o para ejecutar procesos batch.
No es posible el log on mediante consola (GUI)
Este tipo de usuarios no se incluyen en la parametrizacin de seguridad y sus contraseas slo deben ser cambiadas por los administradores del sistema/seguridad.
Servicio: S
Usuario de dilogo disponible para un conjunto de usuarios annimos
Es utilizado normalmente para accesos remotos mediante ITS (Internet Transaction Server) a servidores SAP mediante un servidor web.
Debe ser de uso muy restringido y supervisado
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Logs y herramientas de seguridad
SAP dispone de mltiples tipos de logs:
Administracin de sistema
Monitorizacin de rendimiento
Solucin de problemas
Audit
Tracking
Existen diferentes herramientas de auditora para SAP incorporadas:
AIS: Audit Information System
Security Audit Log
System Log
CCMS: Herramientas de monitorizacin y reportes estadsticos del sistema
Parametrizacin de logs
Reports y transacciones especficas de seguridad: RSUSRxxxx y SUIM
2008 Deloitte2010 Deloitte. Todos los derechos reservados
Deloitte Touche Tohmatsu es una organizacin de firmas independientes, dedicadas a la prestacin de servicios y asesoramiento profesional de mxima calidad, y que se centran en el
servicio al cliente mediante una estrategia global aplicada a nivel local en cerca de 140 pases. Con acceso a un enorme capital intelectual de casi 150.000 personas en todo el mundo,
Deloitte presta servicios en cuatro reas profesionales (auditora, asesoramiento tributario, consultora y asesoramiento financiero) a ms del 80% de las empresas ms importantes del
mundo, as como a grandes empresas pblicas, aunque por diversos motivos, entre los que se hallan las regulaciones especficas de cada pas, no todas las Firmas miembro de Deloitte
prestan toda la gama de servicios.
Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu (Swiss Verein), sus firmas miembro y respectivas filiales y asociadas. Al tratarse de un Verein suizo
(asociacin), ni Deloitte Touche Tohmatsu ni ninguna de sus firmas miembro es responsable de los actos u omisiones de las otras. Cada firma miembro es una entidad independiente
con personalidad jurdica propia que opera bajo los nombres de Deloitte, Deloitte & Touche, Deloitte Touche Tohmatsu, u otros nombres asociados. Los servicios son prestados atravs de las firmas miembro y sus respectivas filiales y asociadas y no por Deloitte Touche Tohmatsu (Swiss Verein).
Copyright 2008 Deloitte. Todos los derechos reservados. A member firm ofDeloitte Touche Tohmatsu