7.SAP - Conceptos básicos y seguridad FY10

2008 Deloitte2010 Deloitte. Todos los derechos reservados

Conceptos bsicos y Seguridad

Barcelona, febrero de 2010

Auditora.Fiscal y Legal.Consultora.Asesoramiento Financiero.


Introduccin a los ERPs

Introduccin a SAP R/3

Navegacin por SAP R/3

Autorizaciones

Seguridad en SAP

Feedback & Sum up

Contenido


Introduccin a los ERPs


Concepto de ERP

ERPEnterprise PlanningResource

Planificacin de los Recursos de la Empresa

Sistema de Informacin que integra diversas funciones de negocio(administrativas, financieras, logsticas, distribucin, produccin ...)

Se extiende horizontamente a travs de las funciones del negocio de la Compaa y verticalmente a travs de la cadena de procesos de abastecimiento

(supply chain).

Ejemplo. Nmina 1 Recurso -RRHH Funcin en organizacin-Administracin Gestin Pago-Financiera Planificacin Pago-Produccin Unidad de trabajo

Mltiples funciones de negocio


Market Share


Por qu implantar un ERP?

Falta de integracin

Mayor eficacia2. Reduccin Tiempos

1. Reduccin CostesMenos personal

Ineficiencias operativas

2. Difcil mantenimiento de

soluciones separadas

1. No comunicacin

Falta de informacin

para tomar decisiones

Incapacidad del

Software para soportar

expansin internacional

Inexistencia de entornos

diferenciados (desarrollo,

test, integracin)


El lado complejo de una implementacin de ERP

Implementaciones largas y costosas

Personal de IT cualificado

Proceso de seleccin dificultoso

Tecnologa muy compleja

Estar dispuesto a simplificar procesos de negocio

Administracin del cambio (Aspectos culturales)


Principales implicaciones del cambio de un sistema

CAMBIAR LOS

SISTEMAS DE

INFORMACION,

GENERALMENTE

IMPLICA

Importantes cambios

culturales

Rediseo de los

controles claves

Incorporacin de un nuevo

entorno tecnolgico con

nuevos riesgosRedefinicin del

esquema de

Autorizaciones

Reasignacin de

tareas y funciones

Cambios

significativos en los

procesos


Introduccin a SAP/R3


SAP AG y SAP R/3

EMPRESA

SAP AG

SAP = Systemanalyse,

Anwendungen und

Programmentwicklung

PRODUCTOS

SAP R/3

SAP ECC

SAP Enterprise

mySAP

SAP Business One

SAP Netweaver


Que es un ERP?

11

Entorno de un ERP


Versiones

SAP R/3 3.1I (julio 1992)

SAP R/3 4.0b (marzo 1998)

SAP R/3 4.5b (marzo 1999)

SAP R/3 4.6b (diciembre 1999)

SAP R/3 4.6c (abril 2001)

SAP R/3 Enterprise 4.7 (Diciembre 2003)

mySAP ERP Netweaver 04 ECC 5.0 (2004)

mySAP ERP Netweaver 2004 ECC 6.0 (2005)

12


Mdulos SAP R/3

SAP R/3

FI

CO

SD

MM

PP TR

PS

WF

IS

QA

PM

HR

Sales & Distribution

(Ventas)

Materials Management

(Compras)

Product Planning

(Produccin)

Quality Assurance

(Calidad)

Plant Maintenance

(Mantenimiento)

Human Resources

(RRHH)

Financial Accounting

(Finanzas)

Cost Accounting

(Controlling)

Project Systems

(Proyectos)

WorkFlow

Industry Solutions

(Soluciones Verticales)

Treasury

(Tesorera)


Mdulo FI - Financial

El mdulo de FI satisface todas las necesidades del departamento de gestin

financiera de una empresa. Algunas de sus funcionalidades son las

siguientes:

Gestin y representacin de todos los datos de contabilidad.

Flujo de datos abierto e integrado, asegurado por actualizacionesautomticas.

Disponibilidad de datos en tiempo real y sincronizacin de las cuentasauxiliares con la contabilidad del libro mayor.

Preparacin de informacin operativa para ayudar a la toma de decisionesestratgicas.

La integracin de FI con otros mdulos garantiza que se reflejen exactamentelos movimientos logsticos de mercancas en las actualizaciones de

contabilidad basadas en valor.


Mdulo CO - Controlling

El mdulo de CO proporciona la informacin para facilitar las decisionesde gestin. Facilita la coordinacin el control y la optimizacin de todos

los procesos de una empresa.

La tarea principal del mdulo de CO es la planificacin. Puede detectardesviaciones mediante la comparacin de datos reales con datos de

planificacin.

Las cuentas de explotacin se utilizan para controlar la rentabilidad dereas concretas de una organizacin o de la organizacin completa.


Mdulo MM Material Management

El mdulo MM da soporte a todas las fases de gestin de materiales:

planificacin de necesidades y control, compras, entradas de mercancas,

gestin de stocks y verificacin de facturas. Est compuesto, entre otros,

por los siguientes subcomponentes:

Planificacin de necesidades sobre consumo (MM-CPB)

Compras (MM-PUR)

Gestin de Servicios (MM-SRV)

El mdulo SD da soporte a todas las fases de ventas y distribucin. Est

compuesto, entre otros, por los siguientes subcomponentes:

Funciones bsicas (SD-BF)

Ventas (SD-SLS)

Facturacin (SD-BIL)

Comercio exterior / Aduanas (SD-FT)

Mdulo SD Sales and Distribution


Mdulo HR Human Resources

El mdulo HR comprende distintos procesos como la planificacin de

recursos necesarios, el reclutamiento y la seleccin, la gestin del personal,

la liquidacin de haberes el desarrollo del personal y la capacitacin. Est

compuesto, entre otros, por los siguientes subcomponentes:

Gestin de Personal (PA)

Gestin de Tiempos (PT)

Clculo de nmina (PY)

El mdulo BI ofrece las funcionalidades necesarias para una perfecta

integracin de la informacin en toda la empresa. Este mdulo incluye las

siguientes funcionalidades:

Data Warehousing

Inteligencia de Negocios

Insight de Negocios

Capacidades de Gestin y Medicin

Mdulo BI Business Intelligence


Navegacin por SAP


Navegacin SAP

1. Estructura Cliente/Servidor

2. Conexin al Sistema

3. Accesos a SAP

4. reas de pantalla

5. Barra de mens

6. Transacciones

7. Modos

8. Ayuda sobre campos

9. Ayuda sobre errores


Estructura Cliente/Servidor

Ordenador

Central SAP

Limitaciones:

Acceso remoto Recursos compartidos

Eg. ACME

SAP GUI

SERVIDOR

SAP


Conexin al Sistema

1. Identificar

Acceso Directo

a SAP

2. Preguntar cul

es el entorno de

Produccin

4. Introducir datos

de acceso

3. Aceptar

Entornos normales:

1. Desarrollo nuevos programas2. Test pruebas3. Produccin - real


Conexin al Sistema (ii)1. Nmero de mandante

(por defecto el de

produccin)

2. Insertar usuario y

contrasea

3. Idioma (por defecto ES Espaol)


reas de pantalla

Barra de mens general

Barra de iconos general

Barra de tareas (propia de cada

pantalla)

Barra de mens de informes

Ejecucin de

transaccin

Informacin del

sistema


Barra de mens de informes

Transaccin: Cada punto del

men, ie, acceso a un informe

El nombre est definido por un

cdigo nico

Eg. ME23N da acceso al informe

Mostrar rdenes de compra

Existen 2 tipos de transacciones:

1. A medida desarrolladas por la propia empresa. Empiezan por las letras Z o Y.

2. Estndares en todos los sistemas SAP con el mdulo instalado.

Utilizables en varios clientes


Ayuda sobre campos

1. Posicionar

Cursor

2. Presionar

tecla F1


Ayuda sobre errores

Hacer doble

click


Seleccin

Campos de SeleccinEjecutar

Ayuda

Campo obligatorio Campo optativo


Listados

Ejemplo informe Movimiento de materiales

1. Seleccionar

campo

Dobleclick para

ver documento

2. Ordenar

ascendente y

ascendente

2. Realizar sumatorios


Informes tiles

1. Visualizar Activos Fijos AS03 / AW01N

2. Balance y P/L F.01

3. Visualizar Partidas FBL3N

4. Aging Clientes S_ALR_87012167

5. Aging Proveedores S_ALR_87012077

6. Visualizar Saldos de Mayores FB10

7. Saldos con Clientes FD10N

8. Saldos con Proveedores FK10N

9. Visualizar Asientos Contables FB03

10. Movimiento de Existencias MB51

11. Inventario Fsico MMBE

12. Visualizar Pedidos de Compras ME23N

13. Entrada de Compras MB03

14. Visualizar Facturas de Compras MIR4

15. Visualizar Pedidos de Ventas VA03

16. Visualizar Entregas de Mercancas de Ventas VA03

17. Visualizar Facturas de Ventas VF03


Modelo de autorizaciones SAP


rbol de autorizaciones

User 1

Profile 1 Profile 2 Composite

Profile 1

Composite

Profile N

Profile 3 Profile N

Authorization 1 Authorization 2 Authorization N

Value Value


rbol de autorizaciones: wallet approach

Un OBJETO DE AUTORIZACIN es como un billete de avin en blanco

Desde:

Hasta:

Fecha:

los campos estn vacos. Pero sigue siendo un billete de AVIN. Si t quieres ir en BUS debes utilizar otro tipo de ticket!!!!!


rbol de autorizaciones wallet approach (2)

Una AUTORIZACIN es el conjunto de valores que se informan en el ticket. Dependiendo de

las necesidades del usuario, puede definirse valores especficos (accesos restringidos)

o no tener casi restricciones (derechos amplios de acceso)

Desde: Barcelona

A: Roma

Fecha: 08.02.2008

Desde: Barcelona

A: Madrid

Fecha: *.*.2008

como un billete abierto (puente areo)



Un PROFILE es como una cartera

que puede contener diferentes billetes (OBJETOS DE AUTORIZACIN):


Profile 1 Profile 2 Profile 3 Profile N


Las personas pueden tener diferentes carteras

igual que en SAP, donde los usuarios pueden tener mltiple PROFILES


rbol de autorizaciones: practical approach

Objeto de AutorizacinAutorizacin

Actividad restringida a 01 y 06

Status profile no restringido

* = wildcard

Una AUTORIZACIN es un conjunto de valores para un OBJETO DE AUTORIZACIN dado


Authorization tree: practical approach (2)

Una AUTORIZACIN tiene 2 grupos de campos:

Activity define QU puede hacer el usuario 01=create 02=change 03=display 06=delete 07=activate 08=display change documents

Domain define DNDE puede el usuario hacerlo. Company Code Plant Authorization Group

2008 Deloitte2010 Deloitte. Todos los derechos reservados38

Authorization

Objects:

Authorizations: Composite

Profiles (or Roles):

Profiles (or

Roles):

Users:

La configuracin de la seguridad es muy compleja!!

Concepto de autorizacin


Perfiles y roles potentes

SAP_ALL

Perfil de superusuario

Dispone de autorizacin para ejecutar todas las transacciones, es decir, dispone de todos los objetos de autorizacin y sus respectivas autorizaciones

Debe restringirse su uso al nmero mnimo de usuarios imprescindibles: administrador del sistema y usuario de urgencia

El usuario administrador debe ser monitorizado y revisado

El usuario de urgencia debe estar bloqueado y su contrasea debe custodiarse de forma confidencial

SAP_NEW

Garantiza el acceso a todas las nuevas autorizaciones cuando se realiza un upgrade del sistema y se introducen nuevos objetos de autorizacin

Una vez implementado el upgrade, se deben revisar estos perfiles y BORRAR aquellos que no sean necesarios


Seguridad en SAP


SAP Review Components

SAP

Environment

Basis

Component

Business

Cycles

Technical

Infrastructure

Interfaces &

Conversions


DATABASE

SECURITY

NETWORK

SECURITY

WORKSTATION

SECURITY

OPERATING

SYSTEM

SECURITY

SAP

APPLICATION

SECURITY

Componentes del entorno SAP


SAP Servicios de seguridad

Autenticacin de usuario

Complejidad de contraseas

Autenticacin basada en Single Sign-On y en Smart Card

Bloqueo por intentos de acceso fallidos

Concepto de autorizacin

Authority Checks

Profile Generator

Authorization Infosystem

SAP proporciona las siguientes herramientas o servicios para implantar las medidas y requerimientos de seguridad adecuados:

CUA & SLM module: administracin de usuarios


Seguridad a nivel de Red

SAProuter

Secure Network Communications (SNC)

Mecanismos Secure Store & Forward (SSF) y Firma Digital

Registro de logs y Auditora

AIS: Audit Information System

Security Audit Log

MIC: Management of Internal Controls (aplicacin)

Aplicaciones de Seguridad por Internet

SAP Servicios de seguridad (continuacin)


Parmetros de seguridad

Parmetros de seguridad en SAP

Lmites de intentos de acceso

Control sobre clientes por defecto y a nivel de men

Longitud de contrasea y expiracin de la misma

Time out: bloqueo por inactividad

Robustez de contraseas

Limitacin en la capacidad de buffer a nivel de usuario

Rastreo de autorizaciones (logs)

Profile generator

Authorization checks

S_TCODE checks


Tareas del administrador de seguridad

Algunas de las tareas de administracin de la seguridad de SAP

incluyen: Crear o actualizar los registros maestros de usuarios de SAP

Crear y mantener los profiles de SAP y sus autorizaciones

Mantener trazabilidad sobre accesos a los registros maestros de usuarios y las

modificaciones realizadas

Resetear passwords y bloquear y desbloquear usuarios

Realizar pruebas de aceptacin de nuevos perfiles y autorizaciones de usuarios

Administrar los parmetros de seguridad de SAP

Generar y actualizar documentacin referente a seguridad (polticas y

procedimientos)

Monitorizar y analizar los parmetros de seguridad de acuerdo con la polticas y

procedimientos de seguridad

Analizar los efectos de los upgrades de sistemas en cuanto a la seguridad se refiere

e implementar los cambios necesarios

SAP dispone de un sistema centralizado para la parametrizacin de la

seguridad.



Automatic Terminal Inactivity Logout

Number of seconds of inactivity before automatically disconnecting inactive users from the system

Unsuccessful Logon Attempts

Number of unsuccessful attempts at logon that are allowed before the users session is terminated

Failed Logon Attempts with Lock Out

Number of times a user can enter an incorrect password before the system locks the user against further logon attempts


Minimum Password Length

Minimum number of characters that must be used for a password

Password Change Frequency

Number of days after which a password must be changed

External Security

Specifies whether an external security tool (e.g. Kerberos) is used



Parmetros adicionales existentes en las ltimas versiones de SAP

Implementar polticas de complejidad de contraseas (alfanumrico, maysculas, carcteres especiales)

Restringir sesiones (GUI) concurrentes de usuarios

Tabla de palabras prohibidas como contrasea



Mandante 000:Este mandante es suministrado por SAP como mandante base. Este mandante estacompuesto por el modelo de la compaa. Slo deben tener acceso los consultores BASIS,en el caso que deban realizarse tareas de instalacin o mantenimiento. A menos que seaespecificado por SAP, nunca se debe acceder a este mandante.

Mandante 001:Este mandante tambin es suministrado por SAP. Se utiliza como base para generar losnuevos mandantes. Al igual que el mandante 000, este mandante nunca debe sufrirmodificaciones.

Manante 066: Este es un mandante especial para el programa EarlyWatch de SAP. Seutiliza para permitirle a SAP el acceso al sistema de produccin (no al mandanteproductivo), con el objeto de evaluar la eficiencia del sistema y hacer recomendacionesapropiadas con respecto a la performance de ste.

Mandante Preconfigurado (en general, el 100): Este es un mandante que tiene unaserie de funcionalidades preconfiguradas, cuyo objetivo es reducir los tiempos deimplementacin de SAP.En la mayora de las compaas este mandante se ha tomado como base para la creacinde los nuevos mandantes.

Mandantes por defecto en SAP


Default Clients

SAPSystem

Client 001 Client 066

Client 000

Cuando el SAP es instalado, por defecto se crean los clientes: 000, 001, 066


Default Users

SAP*

SUPERUSUARIO

DDIC

Usuario para la administracin de la BD

SAPCPIC

Usuario de comunicacin con sistemas perifricos (usuario de interfase)

EarlyWatch

Usuario interactivo (Reporte SAP) en el cliente 066

Todos los usuarios por defecto (a excepcin del EarlyWatch) son creados en

todos los clientes con passwords por defecto


Tipo de usuariosDilogo A

Usuario interactivo de sistema.

Debe ser nominativo o perfectamente asignable a un usuario en concreto

No debera permitirse el mltiple log on

Sistema: B o C

Usuario de comunicaciones y de interfaz con otros sistemas perifricos (RFC o CPIC) o para ejecutar procesos batch.

No es posible el log on mediante consola (GUI)

Este tipo de usuarios no se incluyen en la parametrizacin de seguridad y sus contraseas slo deben ser cambiadas por los administradores del sistema/seguridad.

Servicio: S

Usuario de dilogo disponible para un conjunto de usuarios annimos

Es utilizado normalmente para accesos remotos mediante ITS (Internet Transaction Server) a servidores SAP mediante un servidor web.

Debe ser de uso muy restringido y supervisado


Logs y herramientas de seguridad

SAP dispone de mltiples tipos de logs:

Administracin de sistema

Monitorizacin de rendimiento

Solucin de problemas

Audit

Tracking

Existen diferentes herramientas de auditora para SAP incorporadas:

AIS: Audit Information System

Security Audit Log

System Log

CCMS: Herramientas de monitorizacin y reportes estadsticos del sistema

Parametrizacin de logs

Reports y transacciones especficas de seguridad: RSUSRxxxx y SUIM


Deloitte Touche Tohmatsu es una organizacin de firmas independientes, dedicadas a la prestacin de servicios y asesoramiento profesional de mxima calidad, y que se centran en el

servicio al cliente mediante una estrategia global aplicada a nivel local en cerca de 140 pases. Con acceso a un enorme capital intelectual de casi 150.000 personas en todo el mundo,

Deloitte presta servicios en cuatro reas profesionales (auditora, asesoramiento tributario, consultora y asesoramiento financiero) a ms del 80% de las empresas ms importantes del

mundo, as como a grandes empresas pblicas, aunque por diversos motivos, entre los que se hallan las regulaciones especficas de cada pas, no todas las Firmas miembro de Deloitte

prestan toda la gama de servicios.

Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu (Swiss Verein), sus firmas miembro y respectivas filiales y asociadas. Al tratarse de un Verein suizo

(asociacin), ni Deloitte Touche Tohmatsu ni ninguna de sus firmas miembro es responsable de los actos u omisiones de las otras. Cada firma miembro es una entidad independiente

con personalidad jurdica propia que opera bajo los nombres de Deloitte, Deloitte & Touche, Deloitte Touche Tohmatsu, u otros nombres asociados. Los servicios son prestados atravs de las firmas miembro y sus respectivas filiales y asociadas y no por Deloitte Touche Tohmatsu (Swiss Verein).

Copyright 2008 Deloitte. Todos los derechos reservados. A member firm ofDeloitte Touche Tohmatsu

Documents

7.SAP - Conceptos básicos y seguridad FY10