Seguridad SAP ERP ¿Qué es necesario monitorear continuamente? 10 aspectos claves

En todo sistema de información es relevante mantener y monitorear los aspectos de seguridad, considerando que son parte del entorno de control de los procesos, lo que implica que cualquier vulnerabilidad en la seguridad se estos, se traduce en debilidades de control que podrían poner en riesgo tanto la información financiero-contable como lo relativo al "core business" o la operación.

En este contexto, es necesario mantener un monitoreo continuo de la seguridad del sistema aplicativo, puesto que generalmente las vulnerabilidades o deficiencias de control en este ámbito, conllevan a efectos transversales en los procesos de negocio que están relacionados a estos sistemas, por lo que el impacto podría ser significativo para cualquier entidad u organización pública o privada.

A continuación les mencionaré 10 aspectos claves a considerar en el monitoreo continuo de la seguridad SAP ERP:

1.- Seguridad de los parámetros del sistema relativos a: Password, intentos fallidos de autenticación, desconexión automática por inactividad, conexiones remotas, entre otros.

2.- Seguridad de las transacciones críticas del módulo Basis Component (BC), relativo a la gestión del sistema tales como: SPRO (Customizing SAP), SCC4 (Mantención de Apertura y Cierre de Mandantes), entre otras.

3.- Seguridad de los Roles, Perfiles y Autorizaciones de Usuarios. Transacciones tales como: PFCG (Mantención de Roles, Perfiles y Autorizaciones), SU02 (Mantención de Perfiles y Autorizaciones), entre otras.

4.- Seguridad del Maestro de Usuarios el cual además debe estar segregado de la mantención de roles, perfiles y autorizaciones. Funcionalidades tales como: SU01(Mantención del Maestro de Usuarios), entre otras.

5.- Seguridad relativa al control de cambios del sistema y transportes. Funcionalidad SE10 (Gestión de Transportes), entre otras.

6.- Seguridad para el manejo de ABAP Queries y consultas de tablas del diccionario de datos. Funcionalidades SE16 (Browser de datos), SQ01 (ABAP Query), entre otras.

7.- Seguridad de las interfaces del sistema SAP ERP con otros aplicativos SAP u otros sistemas no SAP.

8.- Seguridad del diccionario de datos, tablas y programas ABAP, transacciones tales como: SE38 (Programación ABAP), SM20 (Mantención de Tablas), entre otras.  Aquí cabe monitorear también los desarrollos fuera del estándar SAP o deltas (transacciones y programas Y-Z).

9.- Seguridad de la segregación de funciones (SoD en sus siglas en inglés), lo cual se debe monitorear transversalmente en el sistema, es decir, tanto en los ámbitos del sistema (tecnológicos módulo Basis) como en los ámbitos funcionales (módulos FI, CO, MM, SD, HR, etc.).

10.- Seguridad de los juegos de datos o batch input, a gestionarse vía transacción SHDB entre otras.

Estas consideraciones a lo menos deben estar en todo programa de monitoreo de la seguridad en SAP ERP, lo cual se debe revisar con énfasis en los Mandantes de Desarrollo Prueba y Productivo, teniendo en consideración siempre el resguardo de la triada de seguridad (Integridad, Confidencialidad y Disponibilidad) de la información.

Auditoría SAP ERP ¿Por qué es necesario ser escéptico? 6 razones fundamentales

La auditoría ha evolucionado y ya no basta con revisar documentos físicos, sino que se debe revisar bases de datos de tal manera de poder pesquisar los hallazgos desde la fuente de origen y los mismos, ser contrastados con los documentos.

La auditoría interna es parte de las 3 líneas de defensa del modelo de control interno de las organizaciones y en consecuencia, los equipos de auditores deben estar preparados técnicamente para llevar a cabo auditorías a los sistemas de información con un enfoque escéptico.

¿Por qué es importante el escepticismo frente a una auditoría de sistemas de información? A continuación 6 razones fundamentales:

1.- Porque el auditor siempre debe revisar la información desde la fuente de origen (bases de datos) y de allí obtener evidencia suficiente y relevante de las desviaciones identificadas. De lo contrario, aumenta el riesgo de detección en la auditoría.

En el contexto de SAP ERP, esto significa entender el modelo de datos del sistema y por ende comprender las tablas que lo componen.

2.- Porque se podrá aplicar pruebas de auditoría sustantivas a las transacciones emanadas de los procesos de negocio las cuales quedarán evidenciadas en las tablas del sistema SAP ERP.

3.- Porque se podrá aplicar procedimientos de detección de fraudes sobre las transacciones contabilizadas en el libro diario de la organización. Estos procedimientos se deben aplicar sobre las tablas que contienen las cabeceras y detalles del libro diario en SAP ERP.

4.- Porque las conclusiones de la auditoría sobre los procesos de negocio, estarán basadas sobre la revisión de transacciones que cubran todo el espectro del negocio bajo SAP ERP y que será centralizado desde el punto de vista financiero-contable en el ERP.

5.- Porque se mitiga la probabilidad de que existan limitaciones al alcance del auditor en lo relativo a la revisión de los procesos que impactan en los estados financieros de la organización, tanto en términos específicos como consolidado.

6.- Porque frente a investigaciones por fraude, el auditor se podrá convertir en un perfecto aliado de los investigadores persecutores (Ministerio Público, policías) en caso que se tenga que evidenciar ante una querella criminal en tribunales de justicia.

Esto significa que los auditores tanto interno como externos, deben estar técnicamente preparados para llevar a cabo auditorías de valor, que permitan finalmente generar evidencia suficiente y relevante para reportar hallazgos tanto a la administración como a los comités de auditoría en el directorio y por ende pasar a ser una línea de defensa sólida para la organización.