El maestro de usuarios es tan crítico como cualquier otro y es necesario resguardarlo y monitorearlo en forma continua, sobre todo en los ambientes de desarrollo y productivo del sistema SAP ERP.
En los foros constantemente hay preguntas tales como: ¿Qué pasa con la cuenta de usuario SAP ERP si un empleado deja la entidad? La respuesta a esta recurrente pregunta es clara y desde el punto de vista de control interno es recomendable bloquearla y desvincularle la totalidad de sus roles, perfiles y autorizaciones. Asimismo, es recomendable asociarla a un grupo de usuarios como por ejemplo denominado ExEmpleados o uno que sea representativo, a fin de mantenerlos fácilmente monitoreados y clasificados.
Otra de las preguntas que surge es: ¿Por qué no es recomendable eliminar los usuarios en el sistema SAP ERP? Esto porque al eliminar a los usuarios existe el riesgo de alterar la trazabilidad histórica de la cuenta eliminada. Esto dado a que generalmente los User Id son creados entre una mezcla de la inicial del nombre y apellido por ejemplo JPEREZ para asociar la cuenta del usuario Juan Pérez, entonces si el empleado Juan Pérez abandona la entidad o es desvinculado y si su cuenta es eliminada, en un futuro y dado al dinamismo de las entidades, podría darse el caso que llegue un nuevo empleado Jorge Pérez y le sea asignado el User Id JPEREZ que alguna vez fue usado por Juan Pérez y tratándose de usuarios con roles claves en la organización, la trazabilidad asociada a las transacciones realizadas por este User Id si bien no se pierde pero se podría ver alterada en las bases de datos físicas (tablas) y lógicas donde se ha almacenado las transacciones realizadas por el usuario.
Por esta razón, no es recomendable eliminar las cuentas de usuario, sobre todo considerando que frente a un juicio o investigación forense pericial en donde se requiera obtener evidencia fehaciente de transacciones ejecutadas por los usuarios, esta información se podría ver alterada como medio de prueba y por ende, desacreditada o desechada.
Lo otro que es importante, es mantener monitoreados y resguardadas las transacciones que permiten crear, modificar y/o eliminar las cuentas de usuario (transacción SU01) con la restricción y/o segmentación de sus respectivos objetos de autorización que permiten ejecutar alguna de estas acciones.
Por cierto, ideal sería si las entidades tuvieran implementado el módulo HCM (Human Capital Management) de SAP y vincular los empleados del maestro de personal a los User Id de SAP ERP, por medio de las posiciones y/o funciones de recursos humanos, lo cual permite desvincular o vincular los roles, perfiles y autorizaciones de usuarios a partir de los movimientos de recursos humanos o usar el modelos de roles vinculados a perfiles estructurales en HCM, lo cual es un tanto más complejo de construir y mantener.
Asimismo, se debe tener mucho cuidado respecto a la asignación a un mismo usuario de la transacción SU01, SU02 y PFCG dado a que genera un conflicto de segregación de funciones (SoD en sus siglas en inglés) pudiendo con estos privilegios crearse un usuario en forma indebida y asignarle roles, perfiles y autorizaciones amplios en el sistema SAP ERP.
Esta última consideración se debe tener en cualquier ambiente SAP ERP, pero el monitoreo y control es con más énfasis en el ambiente de desarrollo y productivo.
En resumen, aquí van las 10 consideraciones claves a tener en cuenta en materia de seguridad del maestro de usuarios en SAP:
1.- No eliminar el usuario SAP cuando deja de pertenecer a la entidad, sea este interno o externo.
2.- Se debe bloquear al usuario inmediatamente al momento de que deja la entidad.
3.- Se debe desvincular inmediatamente la totalidad de los roles, perfiles y autorizaciones de la cuenta de usuario que deja la entidad.
4.- Se debe clasificar a estos usuarios en un grupo especial y representativo, a fin de mantenerlos fácilmente monitoreados.
5.- Se debe restringir y monitorear los privilegios para la creación, modificación y/o eliminación de usuarios en el sistema.
6.- Se debe restringir y monitorear los privilegios para la creación de roles, perfiles, autorizaciones y su asignación a un User Id en SAP ERP y segregar los mismos para crear usuarios y/o mantener roles, perfiles y autorizaciones.
7.- Se debe vincular los roles, perfiles y autorizaciones al maestro de personal en HCM, a fin de automatizar los movimientos de usuarios desde la alta o baja de personal.
8.- Se debe monitorear continuamente el maestro de usuarios en los mandantes de desarrollo, prueba y productivo, pero con énfasis en los ambientes desarrollo y productivo por razones obvias.
9.- Se debe usar cuentas de usuario que sean representativas de quién la usara y evitar el uso de cuentas genérica en aquellos que ejecutan transacciones de creación, modificación, actualización, eliminación. Eventualmente se podría usar cuentas genéricas restringidas con privilegios de visualización, pero con el debido resguardo de la confidencialidad de la información.
10.- Se debe monitoreará continuamente la integridad en la creación de datos maestros de usuarios y que exista una política y procedimiento que regule todas estas consideraciones, la cual debe ser aplicada, revisada y actualizada en forma permanente por la entidad.
A lo menos abordando estas 10 medidas, se puede contar con una seguridad razonable del maestro de usuarios en SAP ERP.
