Esta herramienta posee características que la hace ser una de las más importantes para auditar y obtener evidencia de accesos de los usuarios del sistema SAP:
- Herramienta de fácil uso y es recomendable dominar el concepto de autorización para su utilización e interpretación adecuada (capa 1, 2 y 3 de seguridad de autorizaciones)
- Herramienta que no merma el performance de la operación del ambiente en donde se tenga activada (no es invasiva). Este es el típico motivo por el cual se le bloquea el acceso a los auditores, perdiendo la oportunidad de obtener evidencia de muy buena calidad para la auditoría. Si el trace está activo solamente para la verificación de autorizaciones, no habría merma de performance. Eventualmente podríamos tener impacto, en la medida que activemos todas las opciones del trace (RFC, tablas, etc.)
- Ocupa espacio en disco que se puede ir reciclando por medio de uso de dispositivos externos (discos de respaldo externos) y así no merma el espacio en disco. Esto se puede ir haciendo día a día, dado a la cantidad de información que almacena el trace y se recomienda dejarlo en 99MB de almacenamiento (máximo), a fin de que cada archivo genere la mayor cantidad de información posible.
- Para un eficiente procesamiento y análisis de la evidencia, se recomienda trabajar el resultado del trace apoyado de un CAATs (técnicas de auditoría asistidas por computador) - ACL, ACCESS, EXCEL
- Herramienta de fácil uso y es recomendable dominar el concepto de autorización para su utilización e interpretación adecuada (capa 1, 2 y 3 de seguridad de autorizaciones)
- Herramienta que no merma el performance de la operación del ambiente en donde se tenga activada (no es invasiva). Este es el típico motivo por el cual se le bloquea el acceso a los auditores, perdiendo la oportunidad de obtener evidencia de muy buena calidad para la auditoría. Si el trace está activo solamente para la verificación de autorizaciones, no habría merma de performance. Eventualmente podríamos tener impacto, en la medida que activemos todas las opciones del trace (RFC, tablas, etc.)
- Ocupa espacio en disco que se puede ir reciclando por medio de uso de dispositivos externos (discos de respaldo externos) y así no merma el espacio en disco. Esto se puede ir haciendo día a día, dado a la cantidad de información que almacena el trace y se recomienda dejarlo en 99MB de almacenamiento (máximo), a fin de que cada archivo genere la mayor cantidad de información posible.
- Para un eficiente procesamiento y análisis de la evidencia, se recomienda trabajar el resultado del trace apoyado de un CAATs (técnicas de auditoría asistidas por computador) - ACL, ACCESS, EXCEL
- Si estamos auditando el ambiente productivo, se debe activar en cada uno de los servidores que soportan productivo. Cabe mencionar, que esto aplica para cualquier ambiente y se activa en cada servidor de desarrollo, prueba, sandbox en la medida que nuestra necesidad sea auditar estos ambientes. Las instancias de servidores se pueden ver con la transacción SM51 y de esta forma administro los traces en un esquema multi-server.
- La evidencia obtenida llega a nivel de capa 3 de seguridad de accesos (capa 1 S_TCODE, capa 2 TSTCA y capa 3 USOBT, por lo que la enriquece para evitar falsos positivos.
- Para un modelo de prevención de delitos (Ley 20.393) y/o fraudes (procedimientos de detección de fraudes en el marco de las auditorías internas o externas) es muy recomendado, debido a la calidad de la evidencia.
- Para el monitoreo del modelo de control interno de segregación funcional SoD-SOX Compliance, es muy recomendado, ya que nos permite obtener evidencia del monitoreo que hacen los dueños de procesos (process owners) o dueños de roles (role owners) en relación a los accesos bajo su responsabilidad.
- Se puede complementar con los resultados de otras herramientas tales como: Ejecución histórica de transacciones ST03, STAD, SM04, SM20 log de auditoría con obtención de usuario, transacción y terminal (estas herramientas solamente llegan a nivel de capa 1 de seguridad, es decir, a nivel de transacción ejecutada por usuarios y no cubren los objetos de autorización. (Son susceptibles de levantar falsos positivos), pero complementado con el trace de autorizaciones se enriquece la evidencia.
No hay comentarios:
Publicar un comentario
Comentarios blog GRC Chile