¿Cómo responder a los requerimientos de los auditores?

Las consultas que nos hacen los auditores siempre nos dan dolor de cabeza, ya sea por la dificultad para encontrar la respuesta adecuada como por el hecho que nos obliga a dedicar tiempo que no tenemos.

¡Es decir, un dolor de cabeza siempre!

Luego de revisar el sistema con sus propias herramientas de software nos entregan sus informes a los que debemos responder temas como los siguientes:

1. Usuarios con los objetos de autorización críticos asignados

2. Usuarios que han hecho uso de transacciones críticas

3. Usuarios con privilegios para ejecutar jobs

4. Usuarios no vigentes que aún tienen roles asignados

5. Usuarios con asignación de SAP_ALL y otros equivalentes o similares

6. Transacciones Z/Y sin authority check

Y no puedo dejar de mencionar, la auditoría de SAP a las cuentas de usuarios que detecta siempre más cuentas de las contratadas y/o no calificadas de acuerdo con el tipo de licencia.

Hay dos formas de enfrentar este dilema:

• Cómo responder cada punto en el menor tiempo o,
• Cómo prepararnos para que no existan hallazgos.
  
  

La respuesta a estos puntos son los siguientes:

1. Usuarios con los objetos de autorización críticos asignados

Directo en SAP:

Para responder a esto, debo revisar los roles asignados a estos usuarios y buscar cuáles de estos valores solicitados están presentes en esos roles. La transacción SAP, SUIM, a veces ayuda, pero nos podría tomar al menos entre 2 y 4 horas en la respuesta dependiendo de los usuarios reportados y de la cantidad de roles que tengas asignados.

Con CentinelBox: ¡La respuesta en un par de clics!

2. Usuarios que han hecho uso de transacciones críticas

Directo en SAP:

Primero descargar el log (Security Audit Log) en el período que se ha informado.
Por cada usuario / transacción, extraer la información del uso y preparar la respuesta del contexto en que fue usada.
Si debo desasignar la transacción a un usuario, debo determinar en qué rol está asignada … para esto me puedo apoyar en la SUIM.
Tiempo para esto, sin contar la descarga del LOG, hasta una hora por cada caso.

Con CentinelBox: En un par de clics pudo saber del uso de la transacción por parte de un usuario y, en otro, en qué roles la tiene asignadas.

3. Usuarios con privilegios para ejecutar Jobs

Directo en SAP:

Con la SUIM puedo saber quién tiene asignadas las transacciones SM36 y SM37 y con el LOG descargado en el punto anterior, conocemos de su uso. Tiempo por cada caso: 30 minutos.

Con CentinelBox: ¡La respuesta en un par de clics!

4. Usuarios no vigentes que aún tienen roles asignados

Directo en SAP:

Con la SUIM sólo puedo conocer la relación usuario – rol asignado. No se dispone del código de bloqueo del usuario, por lo tanto se deben descargar con la misma transacción en listado de cuentas vigentes y cruzar, descargarla y cruzar con la anterior.
Tiempo estimado: 30 minutos.

Con CentinelBox: ¡La respuesta en un clic!

5. Usuarios con asignación de SAP_ALL y otros equivalentes o similares

Directo en SAP:

Con la SUIM puedo saber quién tiene asignados los perfiles …
Con el LOG descargado de su uso. Tiempo por cada caso: 30 minutos.

Con CentinelBox: ¡Y la respuesta es nuevamente en un clic!
CentinelBox en su matriz de riesgos, tiene definidos 34 perfiles críticos estándar SAP

6. Transacciones Z/Y sin authority check
Lo interesante, es conocer las transaccionas que están en uso, ya que el stock de transacciones Z/Y puede ser muy extenso.

Directo en SAP:

Con la SUIM puedo identificar las transacciones Z/Y
Con el LOG descargado, de su uso.
Debo descargar la tabla USOBT_C para conocer si está registrada cada transacción.
Luego relacionar los tres compontes podré conocer la información que buscamos, en un tiempo estimado entre 1 y horas.

Con CentinelBox: ¡Y la respuesta es nuevamente en un clic!