Uno de los típicos dolores de cabeza en las empresas que poseen implementado un ERP como SAP, está asociado a la seguridad de las consultas a las bases de datos por medio de herramientas que permiten desarrollar Query.
Dado a los riesgos sobre la confidencialidad de la información que implica el hecho de no considerar buenas prácticas de seguridad en este ámbito, se hace importante tomar en consideración y adoptar ciertas directrices tales como las que les comentaré a continuación, que sin duda alguna ayudará a tomar conciencia respecto a este tema tan sensible en las organizaciones:
- Es recomendable que los usuarios finales de SAP, solamente utilicen la transacción SQ00 para la ejecución de Queries ya desarrollados por usuarios más expertos y que esta asignación sea materializada a nivel del perfil de usuario, con el objeto de autorización S_QUERY segmentado a valor de actividad 23.
- Para aquellos usuarios con un grado medio de expertise en Query, es recomendable asignar la transacción SQVI que permite crear y ejecutar Queries propios de los usuarios, pero igual es riesgosa ya que da la posibilidad de tomar tablas que eventualmente pudieran tener información confidencial para la compañía.
- Respecto a las transacciones SQ01, SQ02 y SQ03, no es recomendable asignarla a usuarios finales, ya que cada una de estas permite:
- SQ01 Query SAP. Actualizar queries: Crear, modificar y eliminar un Query ya existente
- SQ02 Query SAP. Actualizar Infoset: Crear, modificar y eliminar un Infoset. Estos Infoset corresponde a segmentos o agrupaciones de bases de datos, cuya información se obtiene de las tablas físicas que están asociadas a las bases de datos logicas de SAP.
- SQ03 Query SAP. Actualizar grupos usuarios: Crear, modificar y eliminar grupos de usuarios. Estos grupos de usuarios generalmente son los que se crean para agrupar un cierto segmento de Infoset o Queries a 1 o N usuarios, dependiendo de la necesidad de delimitación que tenga la compañía.
Asimismo, las buenas prácticas de creación y mantención de Queries, recomiendan que para darle un uso sustentable en el tiempo a esta funcionalidad, se debe contar con un procedimiento que permita normar estas acciones y que en definitiva, en forma mandatoria se siga la siguiente secuencia para la creación de nuevos Queries:
Es recomendable que toda esta secuencia la haga un usuario experto en Query:
Paso 1: Crear el Infoset ==> Transacción SQ02
Paso 2: Crear grupo de usuario y asociar Infoset a grupo de usuario ==>Transacción SQ03
Paso 3: Crear Query y asociar Infoset del Paso 1 ==> Transacción SQ01
Paso 4: Informar a usuario para que pruebe Query ejecutando ==> Transacción SQ00
En resumen los riesgos que debemos considerar en materia de Queries en SAP son:
- Acceso a información confidencial o sensible de la compañía, por medio de consulta directa a la base de datos.
- Un query al estar mal desarrollado puede mermar el performance de la operación en ambiente productivo del sistema y por ende poner en riesgo la oportuna acción de ciertas transacciones SAP claves para normal operación del negocio.
- Robo o fuga de información sensible:
- Recetas de productos claves para el negocio
- Maestros (clientes, proveedores, personal, materiales)
- Información estratégica del negocio
No hay comentarios:
Publicar un comentario
Comentarios blog GRC Chile