Escolar Documentos
Profissional Documentos
Cultura Documentos
GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Soporte, Seguridad y Mantenimiento
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 1 de 55
REVISADO
APROBADO
RICARDO LADINO
Lder de Tecnologa de la
Informacin y Comunicacin
Fabio Rodriguez
Gerente TIC
____________________
____________________
FECHA DE APROBACIN
16 de abril de 2013
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 2 de 55
ANTECEDENTES
INTRODUCCIN
Una vez realizada la inversin de la implantacin de un sistema sofisticado como el SAP, las empresas
enfrentan el reto de proveer un soporte eficiente al sistema implantado, para obtener el retorno de la
inversin realizado. Esto se logra maximizando la utilizacin del sistema mediante un servicio
oportuno, a la comunidad usuaria, de calidad y a un costo razonable.
Para lograr lo anterior se ha contrato el soporte de consultora especializado en SAP con Consultora
Organizacional, y segundo, se crea el Sistema SAP de Americana de Colchones; lo que nos permite
tener un soporte de primera mano y profesional.
El Sistema SAP de Americana de Colchones es el que nos ocupa en este documento y su sinergia con
el equipo consultor y de Hosting.
Entre los beneficios de esta estructura podemos destacar:
OBJETIVOS
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 3 de 55
ALCANCE
Este procedimiento aplica para todas las sociedades de la organizacin (Americana de Colchones,
Dormiluna, Serta Colombia y Orthobed)
QU
ES SAP?
Pregunta simple y complicada a la vez la que plantea el ttulo, simple porque la mayora de la gente que
trabaj con SAP puede contestarla, complicada porque seguramente a cualquier explicacin o
definicin se le puedan agregar o modificar muchsimos puntos.
El primer punto que podemos hacer notar es que SAP es una empresa, no un producto a diferencia de
como la mayora de la gente suele decir. SAP es una empresa Alemana fundada en 1972 y significa:
Systeme, Anwendungen und Produkte (Sistemas, Aplicaciones y Productos), hoy por hoy es la
organizacin lder en proveer sistemas integrales para grandes organizaciones a nivel mundial.
El producto estrella de la compaa, al que todos simplemente llaman SAP, es su ERP (Enterprise
Resource Planning), pudindose escuchar como nombre del mismo SAP R/3 o ms actualmente SAP
ECC (Enterprise Central Components)
Para entender qu es lo que SAP le aporta a la organizacin, necesitamos saber lo que es un ERP, y la
definicin de este es que es un sistema integrado de gestin de la organizacin. Ahora pongamos esto
en claro, un sistema de estas caractersticas nos va a permitir administrar prcticamente todas las reas
de la organizacin: Produccin, Ventas, Cuentas a Cobrar, Cuentas a Pagar, Contabilidad,
Mantenimiento, Compras, Tesorera, Inventarios, Recursos Humanos, y un largo etc.
Todos estos conjuntos de actividades estn integrados en el aplicativo y cualquier actividad impacta en
la otra automticamente, de ah el mote de sistema integrado, o muchas veces llamado de
Backoffice.
Ahora ya sabemos que el producto estrella de SAP es su ERP, y que este es bsicamente donde la gran
mayora de los empleados de la organizacin realizan sus tareas diarias.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 4 de 55
Adicionalmente SAP tiene otros productos como su CRM (Customer Relationship Management), que
se encarga de Administrar las relaciones con los clientes, registrando todos los contactos con los
mismos, y muchas veces utilizado para brindar una mejor atencin a los mismos contando con toda la
informacin de contacto con el mismo.
Tambin podemos encontrar su Datawarehouse (SAP BW), el SAP SRM (Supplier Relationship
Managemente o Administracin de relaciones con los proveedores), SAP MDM (Master Data
Management), SAP Portal, y muchos otros.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 5 de 55
Capa de presentacin:
La interfaz del usuario propiamente dicha y lo que ve el usuario que interacta con el sistema.
Este aplicativo se llama SAPGUI y es el que el usuario ejecuta en su men de inicio de
Windows, a travs del SAP Logon (el cual se encarga de a validar el usuario y su contrasea)
Entonces, resumiendo, un landscape tpico (landscape se le suele llamar a como est compuesto un
ambiente, por cuantos servidores, con qu aplicativos, etc.,) estara conformado por un servidor de
Base de Datos Unix corriendo Oracle, uno o ms "Application Servers" corriendo Unix y la
instalacin de SAP, y n usuarios finales conectndose con el Application Server a travs del SAP
Logon y SAP GUI.
Hasta ahora vimos cmo es un landscape de SAP ERP con un nico sistema, pero la realidad es que
esto no cubre las necesidades de una organizacin promedio. Por qu? Porque este sistema es solo
un ambiente productivo.
Qu es
un ambiente productivo?
Es el ambiente donde la empresa opera, y sobre el cual se realizan todas las operaciones diarias de la
organizacin, contiene toda la informacin sobre compras, pagos, cobranzas, contabilidad, ventas,
produccin, servicios, etc. y al mismo acceden los usuarios de las reas especficas (Contabilidad,
Tesorera, Ventas, Servicio al cliente, Talento Humano, etc.)
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 6 de 55
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 7 de 55
Los mandantes poseen nombres numricos, siendo a modo de ejemplo un ambiente de SAP de
nombre DEV (por Development), y mandante 200, otro mandante en el mismo equipo puede ser
UNI (por Pruebas Unitarias) y mandante 210. Otro ambiente puede ser QAS y el nmero de
mandante el 300, y el ambiente productivo PRD y mandante 400.
Los mandantes poseen maestros de usuario distintos, esto quiere decir que en un mismo sistema
(DEV) un usuario puede tener acceso al mandante 200 pero no al 210, o puede acceder a los dos
pero con distintos permisos.
La informacin operativa que se cargue en un mandante no es compartida con el otro, a pesar de que
la informacin por pertenecer a un mismo sistema, se aloja en una misma base de datos. Las tablas
con las que trabaja SAP poseen normalmente un indicador de mandante, por lo que SAP siempre lee
este campo primero y solo muestra la informacin del mandante en el cual el usuario se autentic.
Estas tablas se llaman tablas DEPENDIENTES de mandante.
Existen otras tablas especiales, con datos de configuracin del sistema en su mayora que son
llamadas INDEPENDIENTES de mandante, y que son compartidas por todos los mandantes de un
mismo sistema.
Pero ahora, cuando les digan: "Entra a DEV al mandante 210 y fjate un poco que hay por ah..." por
lo menos van a tener una idea de que les estn hablando...
Instancias y Ambientes
Cada ambiente (desarrollo, testing, produccin) es una instalacin distinta de SAP, a cada
instalacin se las llama instancia.
Bsicamente a la instancia, la podemos definir como un sistema SAP independiente de otro,
salvo por las conexiones que nosotros especficamente definamos. Entonces en este ejemplo, un
ambiente de desarrollo, uno de testing y otro de produccin son independientes entre s salvo que
nosotros explcitamente conectemos estas instancias.
Estas instancias son instalaciones que pueden compartir un mismo equipo como en el caso del
presente grfico:
Servidor A
Instancia PRD
Instancia QAS
Instancia DEV
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 8 de 55
Como tambin pueden encontrarse en equipos distintos, cada uno ejecutando una instancia:
ServidorPRD
A
Instancia
ServidorQAS
B
Instancia
ServidorDEV
C
Instancia
App Server B
Instancia PRD
Instancia QAS
App Server C
Instancia DEV
Adicionalmente y para sumar complejidad, cada sistema debe tener su propia base de datos, de
manera que un sistema productivo estndar podra tener un servidor productivo con una instancia de
Application Server ms un servidor de base de datos. O infinitas variantes con la base de datos
instalada en el mismo application entre otras opciones posibles.
Qu es un dato maestro?
Un dato maestro es una entidad que puede ser utilizada en varios mdulos de SAP, pero se
encuentra almacenada en un nico repositorio, buscando de esta manera evitar datos repetidos,
unificar y por ende poder guardar historiales permitiendo sacar mtricas, resmenes, etc.
Qu es una transaccin?
Para ingresar al sistema hacemos click sobre el SAP Frontend o ms comnmente conocido como
SAP Logon, este va a ser el encargado de traer SAP a nuestro escritorio. Tcnicamente hablando es
la capa de presentacin de la herramienta.
Ahora una vez dentro de la herramienta nuestra manera de interactuar con la aplicacin es a travs
de transacciones. Las mismas son bsicamente nombres que intentan ser mnemotcnicos para llamar
a programas o funcionalidades. Hablando ms simple:
- Existe una transaccin que se llama FB02 que por ejemplo permite modificar un documento
contable.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 9 de 55
- Otra por ejemplo se llama SU01 que permite dar de alta un usuario en el sistema
Desde la aplicacin vamos a disponer de un men donde podemos acceder a las transacciones
agrupadas en carpetas por funcionalidad, o vamos a poder ejecutar directamente desde una caja de
texto en la parte superior izquierda invocndola por nombre de transaccin.
Entonces a modo de introduccin tendra que quedar claro que las transacciones son el medio por
el que los usuarios finales interactan con el sistema y a travs de las cuales realizan sus
diversas actividades en el sistema, como ser Aprobar una compra (funcional), Crear un nuevo
usuario (Seguridad) o Administrar el desempeo del equipo (Basis).
Como primer conclusin podemos decir que en principio si queremos restringir el acceso a una
funcionalidad tenemos que empezar restringiendo una transaccin.
Ms adelante vamos a ver que esto es mucho ms complicado de lo que inicialmente suena, pero por
ahora es bueno tener esa idea instalada.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 10 de 55
En la primera etapa se instalaron los sistemas SAP ERP y SAP BI. El sistema SAP est compuesto por
una serie de reas funcionales o mdulos que responden de forma completa y en tiempo real a los
procesos operativos de la compaa. Aunque pueden ser agrupados en tres grandes reas (financiera,
logstica y recursos humanos), funcionan de un modo integrado, dado que existen conexiones naturales
entre los distintos procesos.
A continuacin se describe de forma general el alcance funcional de cada uno de los mdulos y submdulos implementados en Americana, la descripcin detallada del mdulo la puede hallar en
SOLMAN.
4.1
4.1.1
FI - GL
FI - NEW GL
FI - AA
FI - AR
FI - AP
FI - BL
FI - LC
Cuentas Mayor
Nueva contabilidad General
Gestin de Activos
Cuentas por Cobrar
Cuentas Por Pagar
Contabilidad Bancaria
Consolidacin de Sociedades
Desarrollo
Planeacin
Compras
Produccin
(Fabricacin
contra
inventario)
Ventas
Produccin
(Fabricacin
bajo pedido)
Distribucin
Contabilidad Financiera
Libro Mayor
Particin de documentos / desglose
Deudores
Acreedores
Gestin de Caja
Cierre del periodo en contabilidad financiera
Reporting de segmento
Gestin de activos
Contabilidad de Activos Fijos
Alta de activo fijo por capitalizacin directa
Alta de activo fijo por activos fijos construidos (Ordenes de inversin)
Gestin Contable
Servicios
Clientes
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 11 de 55
Los mdulos del rea financiera o brevemente FI de SAP R/3 proporcionan una visin completa de
las funciones contables y financieras e incluyen un amplio sistema de informacin y de generacin
de informes para facilitar la toma de decisiones.
El modulo FI facilita el manejo de toda la informacin financiera de la empresa, de acuerdo al Plan
de Cuentas, y automatiza los reportes a entes externos del Libro Mayor: Cuentas por Pagar, Cuentas
por Cobrar y otros libros auxiliares.
La tarea central de la contabilidad principal consiste en proporcionar un cuadro general de la
contabilidad y las cuentas externas. El registro de todas las operaciones contables (contabilizaciones
de referencia y liquidaciones desde la contabilidad interna) en un sistema de software
completamente integrado con todas las otras reas operacionales de la empresa garantizando que los
datos de contabilidad siempre estn completos y sean exactos.
4.1.2
TR Tesorera (Treasury)
TR CM
TR FM
TR TM
TR RM
Cash Management
Funds Management
Treasury Management
Tisk Management
Gestin de caja
Gestin financiera
Gestin de tesorera
Gestin de riesgos
CO Costos (Controlling)
CO - OM-CEL
CO - OM-CCA
CO - OM-OPA
CO - PC
CO - PA
EC - PCA
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 12 de 55
SD-BF
SD-BF-PR
SD-BF-CM
SD-BF-OC
SD-SLS
SD-BIL
SD-IS-REP
Funciones Bsicas
Determinacin de precio y condiciones
Gestin de crditos y de riesgos
Determinacin de mensajes
Gestin de Ventas
Facturacin
Sistemas de Informacin
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 13 de 55
SD-MD
SD-XX
SD-FT
Datos Maestros
Gestin de exportaciones
Foreign Trade / Customs
Proveedores
y socios
Desarrollo
Planeacin
Compras
Produccin
(Fabricacin
contra
inventario)
Ventas
Produccin
(Fabricacin
bajo pedido)
Distribucin
Servicios Clientes
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 14 de 55
MM-MRP
MM-CBP
MM-PUR
MM-SVR
MM-IM
MM-WM
MM-IV
MM-IS
LO MD
LO LIS
MM-FT-IMP
Gestin de Compras
Gestin de servicios
Gestin de Inventarios
Gestin de almacenes
Verificacin de Facturas
Sistema de Informacin
Gestin de Datos Maestros
Sistema de informacin para logstica
Gestin de Importaciones
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 15 de 55
El mdulo de SAP Materials Management, comnmente llamado MM, administra y controla los
materiales y servicios de la organizacin. Es decir, participa dentro del proceso de una organizacin
desde que surge la necesidad de compra de un material / servicio hasta que el mismo es recibido /
consumido, y finalmente facturado.
Alcance funcional del Gestin de Materiales
Proveedores
y socios
Desarrollo
Planeacin
Compras
Produccin
(Fabricacin
contra
inventario)
Ventas
Produccin
Distri/
(Fabricacin
bucin
bajo pedido)
Servicios
Clientes
Otros ingresos y
devoluciones
Devolucin al
proveedor
Subcontratacin
Transferencia y gestin de inventarios
Traslado con entrega
Traslado sin entrega
Gestin de stocks: renovacin, rechazo, bloqueo
Gestin de lotes
Inventario / recuento y ajustes de inventario
Aprovisionamiento interno: traslado de stock multisociedad
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 16 de 55
Determinacin de necesidades
Determinacin de la fuente de aprovisionamiento
Seleccin del proveedor
Gestin de pedidos
Control de pedidos
Entrada de mercanca
Verificacin de facturas
Gestin de pagos
PP BD
PP SOP
PP MRP
PP SFC
PP -MP
PP- CRP
PP- PC
PP - IS
PP - CFG
PP -REM
Basic Data
Sales & Operations Planning
Material Requirements Planning
Production Orders
Master Planning
Capacity Planning
Datos Bsicos
Planificacin de la produccin ventas
Planeacin de requerimiento de Materiales
rdenes de fabricacin
Plan Maestro
Plan de capacidades
Costes de productos
Sistema de informacin
Configuracin de producto
Repetitive Manufacturing
Desarrollo
Planeacin
Compras
Produccin
(Fabricacin
contra
inventario)
Ventas
Produccin
(Fabricacin
bajo pedido)
Distribucin
Servicios
Planeacin
Planificacin de Ingresos
SOP a travs de transferencia de la planificacin a largo plazo a LIS/PIS/capacidad
Planificacin del precio de material de compra
Planificacin general de centros de costo
Planificacin de centros de costo de Fabricacin
Planificacin de I+D en ordenes internas
Clculo del costo estndar
Clientes
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 17 de 55
4.1.7
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 18 de 55
QM Gestin de la Calidad
QM
QM - MD
QM - PT
QM IM
QM QC
QM CA
QM - QN
Quality Management
Quality Planning
Quality Inspection
Quality Control
Quality Certificates
Quality Notifications
Gestin de la Calidad
Datos Maestros
Herramientas de planificacin
Proceso de inspeccin
Control de calidad
Certificados de calidad
Notificaciones de calidad
CS Servicio al cliente
CS - MD
CS
Datos Maestros
Gestin de Ordenes de Servicio
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 19 de 55
Aviso de servicio:
El aviso de servicio no puede comportar costes ni ingresos, por lo tanto slo puede registrar y
procesar una prestacin de servicio solicitada en un aviso de servicio, si no deben documentarse ni
los costes de personal ni los costes de material. En este caso, no necesita crear una orden individual.
Puede describir la condicin de un objeto tcnico en el aviso de servicio.
Orden de servicio:
Si debe enviarse un especialista al cliente y es necesario planificar el material, las utilidades y el
personal para rectificar un problema, debe utilizar una orden de servicio para la gestin del servicio.
Un pedido de cliente puede crearse basndose en un plan de mantenimiento, un aviso de servicio o
un pedido de cliente.
Pedido de cliente:
Si deben enviarse piezas de recambio y otros materiales al cliente, pero no es necesario realizar una
planificacin, se utilizar el pedido de cliente para la gestin del servicio.
4.1.9
PM Mantenimiento de Planta
PM EQM
PM
PM PRM
PM WOC
Equipos y objetos tc
Mantenimiento Correctivo
Mantenimiento Preventivo
Administracin de rdenes de
Mantenimiento
Gestin de descargos
Sistema de informacin
Desarrollo
Planeacin
Compras
Produccin
(Fabricacin
contra
inventario)
Ventas
Produccin
(Fabricacin
bajo pedido)
Distribucin
Servicios
Clientes
Mantenimiento
Mantenimiento interno
Programacin de Servicios de Mantenimiento
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 20 de 55
El Modulo PM encarga del control complejo de los sistemas de control de plantas. Incluye soporte
para disponer de representaciones grficas de las plantas y se puede conectar con sistemas de
informacin geogrfica (GIS), y contener diagramas detallados
El mdulo de PM, tiene implcitas todas las metodologas de mantenimiento existentes: RCM, RBI,
TPMetc., es utilizado como un SCM para administrar la gestin de Mantenimiento de manera
eficaz y efectiva.
Es una herramienta que por su integralidad con otros mdulos de SAP, permite controlar y
administrar los costos de las actividades de mantenimiento en la compaa ya sea que su trabajo de
mantenimiento sea propio, con Outsourcing o que la compaa preste servicios de mantenimiento a
sus clientes.
4.1.10 LE Ejecucin Logstica (Logistics Execution)
LE-TRA
LE-DSD
LE-SHP
LE-WM
LE-MOB
LE-TRM
Desarrollo
Planeacin
Produccin
(Fabricacin
Compras
contra
inventario)
Ventas
Produccin
(Fabricacin
bajo pedido)
Distribucin
Servicios Clientes
El transporte es un elemento esencial de la cadena logstica. Afecta tanto a las mercancas de entrada
como a las de salida. La planificacin y gestin eficaz del transporte garantizan su envo puntual y
su llegada a tiempo. Los gastos de transporte tienen un papel esencial en el clculo del precio de un
producto. Es importante que los gastos de transporte sean mnimos para que el precio del producto
sea competitivo. La planificacin y gestin eficaz del transporte permiten mantener bajos los Costos.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 21 de 55
Personnel Management
Personnel Time Management
Payroll
Gestin de la Organizacin
Administracin de Personal
Gestin de Tiempos y Asistencia
Calculo de la Nomina
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 22 de 55
Business Warehouse
Business Explorer
Bodega de la Informacin
Query Designer
Analyzer
4.3
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 23 de 55
Al adquirir SAP ERP, Americana entra a forma parte de la ms exclusiva lite de compaas
alrededor del mundo, y para trabajar el mejor software y ms completo ERP del mundo, necesita
tener la mejor estructura interna de soporte, generando un rea de trabajo que pueda mantener la
continuidad operativa de su solucin, integrando la mejor metodologa para procesos de soporte,
mejora continua, y seguridad de sus aplicaciones, PCs, servidores y redes, apoyando efectivamente
el 100% de las actividades informticas en la empresa.
Para poder dar cumplimiento a los objetivos trazados y teniendo en cuenta la gran cantidad de
mdulos y componentes instalados se ha estructurado el Sistema SAP de Americana en cinco
equipos interdependientes entre s: a saber:
Soporte de Infraestructura
Ellos debern proveer un soporte eficiente y competente, asegurar la mxima utilizacin de SAP,
expandir el sistema SAP a aquellas funciones y procesos donde su utilizacin agregue valor al
negocio adems de evaluar nuevos productos SAP y su beneficio para el negocio.
En los apartados subsiguientes se describe cada una de ellas y sus funciones:
Gracias a la tecnologa de SAP Best Practices se form, durante el Proyecto SAP Tierra Prometida y
Everest, el grupo de Lderes Funcionales especializados en cada uno de los mdulos implementados
y quienes tienen a su cargo:
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 24 de 55
Debido a la afinidad de algunos mdulos y de tamao se crean los siguientes equipos para de Soporte
Funcional y Procedimental:
Financiero: FI / TR / CO
Ventas y Distribucin: SD / LE
Adquisiciones: MM
Produccin y Calidad: PP / QM
SAP BI
Los lderes funcionales integrantes de cada equipo tienen la tarea de darle forma, entrenar a los
miembros y divulgar su funcionamiento (ver esquema general del soporte funcional).
Todos los mdulos disponen del Soporte Funcional de Consultora Organizacional.
El procedimiento de soporte funcional es el siguiente:
5.1 Financiero: FI / TR / CO
Pendiente la elaboracin del documento por parte del equipo de soporte
5.3 Adquisiciones: MM
Pendiente la elaboracin del documento por parte del equipo de soporte
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 25 de 55
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 26 de 55
5.6 SAP BI
6
SOPORTE DE INFRAESTRUCTURA
Verificacin del cumplimiento de los servicios de Hosting contratados con Consultora Organizacional
Lentitud en el sistema
Suspensin total o parcial del servicio
7.1
La seguridad en un ambiente de estas caractersticas es vital para cualquier empresa y debe ser cuidado con el
mximo detalle.
En un sistema como el que describimos anteriormente se puede encontrar bsicamente toda la informacin del
da a da de la empresa, as como realizar operaciones de compra, venta, movimientos de stock, entre miles de
posibilidades. A causa de esto justamente es la necesidad de implementar restricciones en el acceso y la
generacin de esta informacin es crtica para la organizacin que cuenta con SAP.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 27 de 55
Un empleado con acceso al sistema solo tiene que poder realizar las acciones que le corresponden
a su rol en la organizacin identificndose unvocamente en el sistema, y quedando registradas
sus actividades en el mismo.
Las tareas inherentes al equipo de Seguridad son:
Interaccin con el equipo funcional y usuarios clave para el papel / la gestin de perfiles.
o
o
o
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 28 de 55
8- Dependiendo de la transaccin a ejecutar, la misma puede chequear como primera instancia (antes
de la ejecucin del cdigo) que se posea un objeto de autorizacin con un valor determinado para ms
de un campo. Este objeto, campos y valores se especifican en la definicin de la misma a travs de la
transaccin SE93 o la tabla TSTCA donde tambin pueden consultarse. Este chequeo acta igual que
el del cdigo de transaccin y se realiza previo a la ejecucin del programa correspondiente a la
transaccin. En el caso de la transaccin FB02 se chequea el objeto F_BKPF_BUK y la actividad
(campo ACTVT) con valor 02 (modificacin), el campo Sociedad (BUKRS) en esta instancia, no se
verifica ya que el valor de chequeo est en blanco). Cabe destacar que no todas las transacciones
realizan este chequeo inicial.
9- A partir de este momento se inicia la ejecucin del cdigo.
10- El cdigo ABAP de la transaccin se ejecuta hasta que dentro del mismo aparezca la instruccin
AUTHORITY_CHECK.
11- A travs de esta instruccin el programa verifica que los valores especificados para cada campo en
la misma se encuentren en el buffer del usuario que la ejecuta. En caso de tenerlos se permite que se
contine la transaccin y en caso de ausencia no se permite continuar o se bloquea el acceso a
determinada informacin. Es a decisin del programador de la transaccin en qu momento se realiza
el chequeo, a veces se verifica cuando uno ingresa un valor (por ejemplo la sociedad en la FB02) en
donde se verifica el mismo objeto que antes F_BKPF_BUK, pero pidiendo la actividad 02 (modificar) y la
sociedad para la cual va a realizarse la modificacin (BUKRS).
NOTA 1: Se debe tener en cuenta que los campos de un objeto de autorizacin siempre se verifican en
conjunto, es decir que la actividad 02 (modificar) solo autoriza a la Sociedad que se encuentra dentro de
la misma autorizacin. Podra ocurrir que dentro de un mismo rol se tenga permiso para modificar una
Sociedad pero solo para Visualizar otra. Por eso es importante tener en cuenta que estas se han
verificadas en bloque
NOTA 2: Es importante destacar que es posible y hasta habitual que un usuario tenga ms de un ROL
asignado, en este caso se produce lo que se conoce como suma de autorizaciones y esto quiere decir
que los valores solicitados de objetos de autorizacin pueden encontrarse en cualquiera de los roles
que el usuario tiene asignado. Ejemplo: Si en el rol 1 el usuario tiene el acceso a la transaccin FB02
(objeto S_TCODE), y en el objeto F_BKPF_BUK la actividad con valor 03 y la sociedad en 0001, pero el
programa solicite 02 y 0001 el usuario no podra ingresar a la transaccin. Ahora si agregamos un
segundo rol al usuario sin ningn objeto S_TCODE pero con el objeto F_BKPF_BUK con valor de
actividad 02 y sociedad 0001 el usuario ahora si va a poder tener acceso a ejecutar esta transaccin (el
primer rol le da el S_TCODE con FB02 y el segundo el F_BKPF_BUK con actividad 02)
Por ltimo cabe destacar que la transaccin FB02 necesita de otros objetos de autorizacin para ser
ejecutada pero el nombrado aqu fue solo a modo de ejemplo.
Es importante recordar que los mandantes poseen maestros de usuario distintos, esto quiere decir que en un
mismo sistema (DEV) un usuario puede tener acceso al mandante 200 pero no al 210, o puede acceder a
los dos pero con distintos permisos.
7.1.2
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 29 de 55
Administracin de usuarios
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 30 de 55
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 31 de 55
SAP analiza el pedido de ejecucin de la transaccin SU01, y se fija que entre los permisos de
pfernandez se encuentre el objeto de autorizacin S_TCODE con el campo TCD con el valor SU01. Si es
correcto permite el acceso a la transaccin.
Cabe destacar que el control del objeto S_TCODE est implcito en SAP y se realiza siempre que se llama a
una transaccin, por eso el objeto S_TCODE es tan popular dentro de la seguridad SAP
Esta explicacin es a fines educativos solamente, porque la generacin de un rol es mucho ms compleja
que los pasos seguidos anteriormente, pero da una idea general de como es el proceso.
Tambin recuerden que segn la versin de SAP con la que trabajemos a veces pueden llamarse Roles, o
pueden ser Grupos de Autorizacin o en algn lugar tambin pueden ser Papeles.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 32 de 55
Uno de los riesgos a tener en cuenta es que por cmo est dispuesta la pantalla donde uno consulta los
usuarios (una pestaa de roles y otra de perfiles) uno puede llegar a confundirse pensando que un usuario
no tiene ninguna autorizacin crtica mirando el contenido de la pestaa de roles, cuando en realidad si uno
revisara la pestaa de perfiles uno podra ver que adicionalmente tiene asignado por ejemplo, los permisos
de SAP_ALL.
Un error comn, algunos pueden llamarlo tonto, pero sepan que puede pasar. Igualmente ms adelante
vamos a ver maneras ms prcticas de revisar los permisos que efectivamente tiene un usuario.
Ejemplo de uso de la PFCG y vnculo de roles y perfiles
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 33 de 55
Identificacin de
roles
Seleccin
de
transaccione
Anlisis de
razonabilidad y
evaluacin de
segregacin de
funciones
Definicin
de variantes
Prueba de
seguridad
Aprobacin
funcionamiento
del rol
Asignacin
de usuarios
Evaluacin de
segregacin de
funciones
Salidas
Actores
Salidas
Actores
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 34 de 55
Salidas
Actores
Definicin de roles del sistema con sus respectivas transacciones. Planilla de Roles,
Transacciones y Objetos de Autorizacin a completar.
Elaboracin de una planilla de criterios de apertura por niveles organizativos u otras
necesidades especficas. Definicin de las necesidades de apertura basndose en
la confidencialidad, requerimientos del negocio, distribucin geogrfica, y control
interno. Construccin de las variantes.
Variantes de rol construidas y listas para las pruebas.
Usuarios Clave Control Interno, Administracin de Seguridad, Analistas Funcionales
SAP (apoyo)
Salidas
Actores
Salidas
Actores
Task
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 35 de 55
Information
Assigning Roles
Mass Changes
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 36 de 55
Cuando la orden es liberada, el sistema se encarga de guardar el versionado de los objetos involucrados,
desbloquear los objetos tomados por la orden, y guardados los archivos de datos en el directorio
correspondiente del sistema operativo, a su vez se marca la orden como import en el sistema destino.
Dentro del Transport Organizer (SE09) se realizan todas las tareas de liberacin y monitoreo de las
rdenes. Adicionalmente puede utilizarse como sistema de consulta la transaccin SE03.
Dentro del workflow de transporte debe incluirse la verificacin de tablas, programas, y dems objetos
modificados, para verificar que los cambios que se realizan no afectan la seguridad e integridad del sistema.
Los objetos de autorizacin que principalmente regulan el comportamiento del usuario respecto al sistema
de transportes son el S_CTS_ADMI para las funciones administrativas y el S_TRANSPRT, en lo referente a
las autorizaciones de crear, modificar y liberar rdenes y tareas.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 37 de 55
De esta manera, si queremos definir solo permisos de visualizacin sobre las rdenes podemos establecer
la actividad en 03 para todos los tipos de orden.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 38 de 55
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 39 de 55
La problemtica oculta tras este perfil es que muchas veces vamos a escuchar que es indispensable para
realizar tareas de administracin del sistema, entre otras cosas.
Esto NO es as, si bien escasos (muy escasos) procesos deben obligatoriamente ejecutarse con permisos
sumamente amplios ms veces el requerimiento obligatorio es del usuario SAP*, que del perfil SAP_ALL.
Con lo cual este solo debiera ser incorporado en el proceso de cambios de emergencia de ser necesario, y
no como un permiso habitual asignado a los usuarios de administracin (o cualquier otro).
Usted confiara en un Jr de Sistemas para que tenga todos los permisos en el sistema? Para que apruebe
las rdenes de compra? Para que las haga? Para que ejecute pagos?
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 40 de 55
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 41 de 55
De esta manera un usuario podra ejecutar reportes para los que habitualmente no tiene permiso en forma
batch y consultar el spool resultante del mismo.
En caso de requerirse este tipo de ejecucin apersonada, los permisos deberan estar correctamente
restringidos, para las necesidades especficas de la organizacin.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 42 de 55
Por ejemplo, dentro de los parmetros a definir se puede establecer que el mandante sea modificable, la
posibilidad de copiar el mismo, realizar modificaciones independientes de mandante, etc.
Desde la transaccin SCC4 podemos consultar y/o modificar la configuracin de los mandantes, y dentro de
las mismas se nos presentan varias opciones que es importante que nos queden claras y bien definidas.
1- Modificar objetos dependientes de mandante:
Permitir libremente las modificaciones sin realizar rdenes de transporte automticamente (No
recomendado su uso, solo factible para ambientes Sandbox con rutas cerradas de transporte)
Permitir modificaciones pero realizar automticamente las rdenes de transporte respectivas (para
reforzar la nivelacin de ambientes hacia adelante, y la ejecucin del proceso transporte,
recomendable para ambientes de parametrizacin o customizing)
No permitir modificaciones (o lo que se conoce como mandante cerrado, recomendable para
ambientes productivos y no solo recomendable indispensable para mantener cierto control)
Permitir las modificaciones de customizing pero anular las posibilidades de transporte incluso
manuales (no recomendable, solo para entornos cerrados de pruebas)
2- Modificaciones de objetos independientes de mandante:
Permitir todos los cambios (Recomendable para ambientes de desarrollo)
Permitir solo cambios de Repository o workbench (Son solo modificables los programas, reportes,
diccionario de datos, etc.)
Permitir solo cambios de Customizing independiente de mandante (Solo el customizing y no el
workbench)
No permitir ningn cambio independiente de mandante (Ambientes de produccin)
3- Proteccin contra copias de mandante:
Sin restricciones
Sin posibilidad de sobrescribir el mandante (habitual para la mayora de los mandantes, salvo
excepcin puntual)
Eliminar la posibilidad de tomarlo como origen de una copia de mandante (Es para evitar que un
mandante que tiene informacin confidencial pueda ser copiado a otro mandante)
4- Proteccin contra uso de CATTS:
Las herramientas de CATT o ECATT pueden ser utilizadas para realizar cargas masivas de datos en
el sistema y por lo tanto se recomienda que se limite la posibilidad de su uso en los ambientes
productivos.
Es importante destacar que estas configuraciones son solo aproximaciones a lo que debera ser, y que sin
embargo muchas veces ocurren excepciones a las reglas aqu definidas, ya que se habilitan temporalmente
las posibilidades de copiar mandantes de produccin para realizar pruebas (deberan anonimizarse sus
datos), o copiar ambientes de desarrollo, etc.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 43 de 55
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 44 de 55
En el caso de ser necesario para modificar tablas Z o algunas muy especficas necesidades funcionales
siempre debiera otorgarse la modificacin de grupos de autorizacin lo suficientemente acotados para que
sepamos cuales son todas las tablas incluidas en los mismos
A su vez hay que tener sumo cuidado en otorgar el permiso amplio de visualizacin de tablas (S_TABU_DIS,
Actividad 03, Grupo *) ya que se estara poniendo a disposicin del usuario toda la informacin transaccional
de la empresa, la cual muchas veces estaramos cuidando con restricciones fsicas en el mundo real pero
dejando a libre disposicin en los sistemas.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 45 de 55
SU53
Permite ver el ltimo error de autorizacin que tuvo el usuario en el ambiente SAP (u otro
usuario que previamente hubiera ejecutado la SU53). Es de suma utilidad para el anlisis de
errores de seguridad y una herramienta muy conocido por los administradores de seguridad.
7.2
Qu son los parmetros de seguridad en SAP R/3? Es la manera que nos provee el sistema para
determinar diferentes configuraciones del mismo ya sea de funcionamiento o performance (BASIS), como de
seguridad y estas ltimas son las que ms nos interesan.
A travs de los mismos podremos definir cosas como el largo de la contrasea, la cantidad de dgitos
obligatorios, tiempo de caducidad, entre otras opciones. La configuracin de los mismos se hace a travs de
las transacciones RZ10 y RZ11 (perfiles globales, de instancia, o modificacin dinmica).
A continuacin se enumeran los principales parmetros de la seguridad de SAP definidos en Americana:
Parmetros de restriccin a las contraseas:
Parmetro
login/min_password_lng
login/min_password_lowercase
login/min_password_uppercase
login/min_password_specials
login/min_password_letters
login/min_password_digits
login/min_password_diff
login/password_history_size
login/password_expiration_time
login/password_change_waittime
login/password_compliance_with_
current_policy
login/password_max_idle_initial
login/password_max_idle_product
ion
Descripcin
Tamao mnimo de la contrasea
Cantidad mnima de caracteres en minsculas
Cantidad mnima de caracteres en maysculas
Cantidad mnima de caracteres especiales
Mnimo de caracteres del alfabeto en la contrasea
Mnimo de dgitos obligatorios en la contrasea (0-9)
Cantidad de caracteres que deben diferenciarse entre la
nueva contrasea y la anterior (para cambios de contrasea
realizados por el usuario)
Cantidad de contraseas guardadas como historial
Cantidad de tiempo definida en das que transcurre antes
que expir la contrasea del usuario y el sistema solicite un
cambio de la misma.
Cantidad de das que deben transcurrir antes que el usuario
pueda cambiar por sus propios medios nuevamente una
contrasea. (Es para impedir que se evite el control de
historial de contraseas cambiando numerosas veces una
misma contrasea)
Este parmetro determina que durante los nuevos logins se
verifique si la contrasea cumple con el estndar
actualmente definido. (o no chequea, 1 chequea) De esta
manera las modificaciones de parmetros de seguridad
impactarn inmediatamente en los usuarios requiriendo que
los mismos realicen un cambio de contraseas en su
prximo loguin si no cumplen la poltica actual.
Mximo nmero de das que la contrasea definida por el
administrador (inicial) puede permanecer habilitada para que
el usuario la utilice. (0 a 1000). Es utilizado para evitar que
los usuarios sean dados de alta con contraseas iniciales
pero nunca ingresen al sistema dejando una puerta semiabierta en el mismo sistema (contraseas iniciales dbiles)
Similar al anterior pero aplicable a los cambios realizados por
los mismos usuarios.
Valor
7
1
1
0
1
1
2
5
30
40
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 46 de 55
Parmetros de Multiloguin
Parmetro
login/disable_multi_gui_login
login/multi_login_users
login/failed_user_auto_unlock
login/fails_to_session_end
login/fails_to_user_lock
Descripcin
Determina si el sistema permite logins desde ms de un GUI.
(o permite, 1 deshabilita). Es utilizado para evitar riesgos no
detectados que un usuario sea utilizado desde ms de una
terminal, para ahorrar en trminos de performance y para
evitar problemas de licencias con SAP)
En l se definen separados por comas, las excepciones al
parmetro anterior, sea quienes pueden loguearse desde
ms de un gui independientemente de la definicin del otro
parmetro.
Aqu entre 0 y 1 se define si despus de la medianoche los
usuarios bloqueados por errores de contrasea se
desbloquean automticamente. Lo recomendable es que esto
no suceda a diferencia del valor por defecto de SAP
En este caso se define la cantidad de errores en el ingreso de
contrasea hasta que la sesin de un usuario llegu a su fin
(pero no se bloquea el usuario, solo se lo desconecta del SAP
GUI)
Este parmetro determina la cantidad de errores consecutivos
en el ingreso de la contrasea a partir del cual se bloquea el
usuario, el cual debe ser desbloqueado por el administrador
salvo que el parmetro logins/failed_user_auto_unlock tenga
un valor distinto de 0.
Valor
Descripcin
A partir del mismo se deshabilitan las conexiones por el viejo
protocolo CPIC
Este parmetro deshabilita el usuario harcodeado SAP* con
contrasea PASS en caso que se borre el usuario SAP* del
maestro de usuarios. (0 habilitado, 1 deshabilita).
Mediante este parmetro se determina en segundos la
cantidad de tiempo de inactividad antes que se termin la
sesin del usuario (0 deshabilitado)
Valor
Otros parmetros
Parmetro
login/disable_cpic
login/no_automatic_user_sapstar
rdisp/gui_auto_logout
login/system_client
6
hours
400
7.3
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 47 de 55
AUDITORA
Aqu trataremos de abarcar paso a paso, las tareas a realizar para evaluar la seguridad del sistema. Lo
principal a fines de empezar, es entender el alcance de la auditora que vamos a realizar.
Metodolgicamente, una auditora del sistema se concentra en revisar la configuracin del mismo, con el fin
de exponer las falencias que puedan poner en jaque la seguridad de la informacin que en el reside.
Tenemos que comenzar entendiendo que el sistema SAP como ERP, es un sistema que puede aportar un
alto grado de seguridad en las operaciones, y posee un buen nmero de controles embebidos en el mismo,
tanto configurables como inherentes. Pero esta seguridad tiene que ser configurada, para que sea efectiva.
Y tambin es importante destacar una caracterstica particular de SAP a la hora de auditarlo, y es que en el
mismo no solo se configuran y por consiguiente, se revisan, los controles de aplicacin (controles internos
del negocio, validaciones de datos, etc.) sino que tambin un gran nmero de controles de base o generales
deben efectuarse en el mismo, ya que desde dentro de un sistema SAP es posible acceder directamente a
las tablas de base de datos, ejecutar programas, ver cdigo fuente, ejecutar comandos de sistema operativo,
apagar el servicio, realizar debugging, y un largo etc. de actividades que en otros sistemas deben
controlarse por fuera de la aplicacin y en el caso de SAP deben controlarse en ambos lugares. Y
resaltamos ambos lugares porque incluso en muchas revisiones de seguridad se pierde el foco y se
controlan los permisos dentro del sistema con el fin de verificar controles generales y de aplicacin,
abandonando un poco el control sobre los servidores de base de datos, de aplicacin, etc.
Antes de empezar efectivamente con la auditora sobre el sistema, hay cierta informacin que se debe
recopilar, y vamos a explicar porque:
Versin, o versiones de SAP sobre la que se va a trabajar - Distintos parmetros y configuraciones son
posibles dependiendo de la versin del sistema.
Cualquier informe de auditora previo Nos puede dar una idea general del sistema, aunque la revisin
deba hacerse de cero.
Landscape, nmero y nombre de instancias - Por motivos obvios es necesario conocer el landscape
sobre el que se trabaja, servidores involucrados, application servers lgicos, fsicos, ambientes de
desarrollo, pruebas, produccin etc. Es importante que los ambientes se encuentren correctamente
aislados el uno del otro.
Sistema operativo y Base de Datos (Nombre, versiones, etc.) Averiguar el sistema operativo sobre el
que est instalado el application server y la base de datos sobre la que corre es importante tanto para
la revisin de software de base, como para algunas transacciones especficas del sistema segn donde
se instale.
Mandantes - Conocer los mandantes existentes y el objetivo de los mismos es necesario por las
mismas razones que las instancias, y para conocer las necesidades de auditora.
Cantidad de usuarios - Complejidad y extensin de la revisin.
Mdulos utilizados/implementados - Para conocer el alcance de la revisin, una aproximacin del
nmero de roles involucrados y complejidad, la cual puede depender de los mdulos (sobre todo si son
incluidos mdulos de industria especficos que si bien pueden no agregar muchos controles de
seguridad, pueden ser desconocidos para nosotros)
Esquema general de Sociedades, Centros, Sociedades CO, y otros datos funcionales - Resultan tiles a
la hora de evaluar un esquema de roles acorde a las necesidades de la organizacin.
Nmero de desarrollos ABAP o Z - Nos servir como dato sobre la complejidad del sistema y de su
diferencia con el sistema estndar. Este dato es de suma importancia a la hora de saber lo complejo del
anlisis de roles y en un posible caso de reingeniera de los mismos.
Toda la documentacin del rea de sistema definiendo procedimientos, misiones y funciones,
organigrama, nmina de empleados del rea de sistemas con funciones, monitoreo, etc. - Es til con el
fin de confirmar que estos procedimientos y puestos se vean reflejados en la estructura del sistema, y
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 48 de 55
que los permisos de usuarios en el sistema no excedan o limiten sus responsabilidades. Es importante
conocer el procedo de gestin de usuarios y accesos, para ver que el mismo se refleje de manera
adecuada en el sistema.
Procedimiento de cambios, y cambios de emergencia Es importante contar con este procedimiento
escrito para comprobar que el sistema de transporte y los permisos estn configurados de manera
acorde.
Procedimiento de ABM de Usuarios y roles Es de suma importancia conocer el procedimiento para
poder contrastar la realidad del sistema contra lo tericamente definido, y si lo tericamente definido es
correcto o adecuado.
Usuarios de Interfaz o no nomenclados - Es importante conocer de antemano cuales son estos usuarios
para verificar su correcta parametrizacin o recomendar su eliminacin.
Esquema de Nomenclatura de roles - Como son nomenclados los roles es vital para entender la
estructura de los mismos.
Nomenclatura de usuarios - Para verificar que se cumpla y comprender la misma.
Metodologa de Acceso al sistema - A travs del SAP GUI, Web, interfaz desde otras aplicaciones,
usuarios de internet, externos, SAP Router, Citrix. Es importante determinarlo con el fin de verificar el
alcance y saber con qu estamos tratando.
Implementacin de Seguridad a travs de la estructura organizativa, o la utilizacin de perfiles
estructurales - Cambio nuestro punto de vista sobre como revisar la seguridad del sistema.
Topologa de Red del sistema SAP - Realizar un anlisis preliminar de la instalacin y su seguridad.
Planes de continuidad del sistema - Adems de lo obvio, para conocer la redundancia, el riesgo y otros
sistemas que debamos verificar.
Existencia de permisos de visualizacin para auditar el sistema - Es de suma importancia poseer
permisos a todo lo que necesitemos, pero sin modificacin, para poder trabajar con tranquilidad sobre el
sistema. Ya que de ser negado el acceso interactivo al sistema tendremos que encarar una auditora
COMPLETAMENTE DISTINTA.
En el tema apartado anterior vimos los primeros pasos a seguir y en el presente ya ahondaremos en los
primeros controles tcnicos a realizar.
1- Verificar el acceso al customizing, especficamente a la transaccin SPRO por parte de los usuarios
y los permisos del objeto S_IMG_ACTV. Lo ideal es restringir estos permisos a los usuarios en
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 49 de 55
general y solo usuarios de emergencia o funcionales puedan visualizar (03) el customizing en pos de
la solucin de problemas de desarrollo. Adicionalmente podran verificarse que no existan permisos
innecesarios directamente a muchas de las transacciones del customizing (O*).
Este control es independiente de los permisos definidos para el mandante en general mediante la
transaccin SCC4, ya que se busca restringir los permisos a fin de evitar que un mandante abierto por
error pueda ser modificado, y como siempre tambin, evitar el otorgamiento de permisos innecesarios.
2- Restringir el acceso a la transaccin SCC4 para evitar la gestin del mandante por usuarios no
autorizados.
3- Verificar en la transaccin SCC4 la configuracin del mandante, de forma de no permitir cambios en
un mandante productivo, as como tampoco debera permitirse la ejecucin de CAATs o eCAATs, ni
sobrescribir el mandante (S_TABU_DIS ACTVT=2, Group=SS; S_ADMI_FCD=T000; S_TABU_CLI=X)
(Ms info)
4- Revisar los permisos otorgados mediante S_TABU_DIS a los usuarios (permisos de modificacin
directa de tablas) evitando otorgar cualquier permiso a todas las tablas o tablas del sistema (* o SS,
entre otros), controlar los permisos a las tablas Z* y que las mismas tengan grupos de autorizacin
vinculados. Verificar en conjunto con el acceso a las transacciones SE16, SE16N, SE17, SM30, SM31 y
variantes. (Ms info)
5- Verificar la posibilidad de ejecutar programas directamente por parte de usuarios finales (acceso a
transacciones SA38, SE38, SE80, SE37), en conjunto con el objeto S_PROGRAM, y la existencia de
programas sin grupo de autorizacin (tabla TRDIR campo SECU). (Ms info)
6- Verificar que los permisos para trabajar con rdenes de transporte, tareas, y pasajes entre
ambientes, estn asignados a las personas que deben cumplir los respectivos roles y que se cumpla la
segregacin de funciones. Verificar el objeto S_TRANSPRT, y los permisos a las transacciones SE09,
SE10, STMS, etc. (Ver este link sobre el sistema de transporte, y detalles sobre los objetos de
autorizacin en este link)
7- Verificar que los programas Z (customizados) posean los authority check que requiramos. Esta
bsqueda se puede realizar fcilmente a travs del programa RSABAPSC ejecutado desde la
transaccin SA38.
8- Revisar los parmetros definidos en el perfil de instancia (a travs del reporte RSPARAM (SA38), o la
transaccin RZ11. (Ms info)
9- Verificar todos los usuarios que posean permisos para desarrollar en ambientes productivos (Objeto
S_DEVELOP con actividades 01, 02 o 06), y que tambin dispongan de la transaccin SE38
10- Verificar que los permisos de debug con modificacin de variables no estn asignados en un
ambiente productivo (S_DEVELOP, actividad 02 y tipo de objeto DEBUG) (Ms info)
11- Ejecucin de Querys, verificarlo revisando qu usuarios pueden ejecutar la transaccin SQ01 y el
objeto S_QUERY con 02 o 23.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 50 de 55
SAP es una herramienta desarrollada para las grandes corporaciones, y por ello es que dispone de
facilidades para realizar auditoras sobre el mismo, que no es lo mismo que decir que es fcil realizar una
auditora de SAP.
Vamos a hacer un breve resumen del Sistema de Informacin de Auditora (AIS), las posibilidades que nos
brinda y como utilizarlo.
En las versiones ms viejas de SAP, exista una transaccin llamada SECR, a travs de la cual se acceda a
los distintos reportes. Por cuestiones de compatibilidad en las versiones ms nuevas se mantiene, aunque
est obsoleta.
Las necesidades organizacionales muchas veces llevan a que se efecten auditoras sobre los sistemas que
las empresas tienen en pos de cumplir con requerimientos tanto internos, como externos.
SAP es una herramienta desarrollada para las grandes corporaciones, y por ello es que dispone de
facilidades para realizar auditoras sobre el mismo, que no es lo mismo que decir que es fcil realizar una
auditora de SAP.
El AIS de las nuevas versiones (posteriores a la 4.6c) est conformado por un conjunto de roles, los cuales
habilitan a realizar distintas actividades en el sistema. Mediante la generacin y posteriores asignacin de
los mismos a los usuarios finales, se otorgan permisos para realizar diferentes reportes y queries sobre el
sistema.
Cuando estos roles son asignados a un usuario el mismo dispone de un men de rbol especial, donde tiene
numerosos reportes y acceso a transacciones que pueden brindar informacin til para realizar una
auditora.
Los roles que forman parte del AIS son todos los que poseen la siguiente estructura de nombre
SAP*AUDITOR*, existen numerosos roles simples y tambin dos compuestos que integran varios otros,
SAP_AUDITOR (auditor general) y SAP_AUDITOR_TAX (auditor de impuestos).
El rol SAP_AUDITOR est pensado para una auditora general de controles y datos en el sistema, en
cambio el SAP_AUDITOR_TAX como su nombre lo indica est mayormente enfocado al auditor de
impuestos (accesos a la contabilidad en su mayora).
Estos roles simples tambin tienen unas caractersticas particulares. Existen los roles como
SAP_CA_AUDITOR_SYSTEM el cual no contiene men alguno, solo objetos de autorizacin que nos
brindan permisos tanto de visualizacin como de modificacin en algunas transacciones. A su vez, tambin
encontramos el SAP_CA_AUDITOR_SYSTEM_DISPLAY, el cual solamente permite la visualizacin de
datos, y es ms adecuado para un auditor en muchas situaciones.
Estos roles como dijimos no contienen men alguno, y el men est dado por otros roles, que no tienen
autorizaciones, solo el men:
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 51 de 55
Esta flexibilidad que nos brinda SAP, permite justamente combinarlos para otorgar con el mismo men,
permisos de visualizacin o modificacin.
Siempre debemos respetar la idea global, de no trabajar con los roles estndar si no realizar copias Z de
los mismos para evitar inconvenientes en upgrade o posibles parches.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 52 de 55
RIESGOS TECNOLOGICOS
El EarlyWatch Alert (EWA) es la herramienta de SAP que permite al cliente mantenerse al tanto del estado de
sus sistemas y tomar decisiones ante los problemas crticos que se detecten, garantizando as el buen
funcionamiento de sus sistemas SAP.
Se trata de una funcionalidad estratgica que lleva a la reduccin del coste total de propiedad y mejor
rendimiento del sistema.
Objetivos de EWA:
1. Prevencin de los cuellos de botella
2. Facilitar la temprana identificacin de problemas potenciales
3. Generacin de informes peridicos
4. Provisin de un seguimiento regular y automtico de los resultados de los componentes de SAP
5. Prestacin de un seguimiento regular y automtico de los componentes crticos de administracin del
sistema SAP.
Monitorizacin de EWA:
1. Estado de los componentes generales
2. La configuracin del sistema
3. Recursos de hardware
4. Gestin de base de datos
5. Mensajes de errores crticos
6. Mejora del rendimiento
7. Promedios del tiempo de respuesta
8. Carga de trabajo actual
CAPACITACIN
10
Videos
Seminarios
Glosario de terminologa
Demostraciones, ejercicios y soluciones
Lista de fuentes comunes de problemas y errores cometidos frecuentemente por los usuarios
MEJORA CONTINUA
11
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 53 de 55
ANEXOS
11.1 Tips
Bloqueo de Transacciones
Entre tantas opciones de seguridad que tenemos en la herramienta SAP ECC nos encontramos que
tenemos la posibilidad de bloquear el uso de una transaccin para todos los usuarios independientemente
de sus autorizaciones (siempre y cuando no tengan autorizacin para desactivar el bloqueo), a travs de la
transaccin SM01, en la misma podemos indicar el cdigo de transaccin a bloquear y a partir de confirmar
el mismo no se permitir la ejecucin de esa transaccin por ningn usuario hasta que no se vuelva a
desbloquear.
Esta opcin es til para impedir la ejecucin de transacciones que consideremos crticas y no queramos que
en ese ambiente nadie ejecute, o tal vez para impedir temporalmente la ejecucin de una transaccin
especfica (ocurre durante la ejecucin de algunos procesos en batch, o actualizaciones del sistema).
Generacin de Contraseas
Uno de los grandes problemas a la hora de generar contraseas iniciales o reinicializar las mismas est
dado por el uso de contraseas triviales y por las dificultades que nos presenta la generacin de contraseas
al azar estndar de SAP.
Sin embargo existe una posibilidad de configuracin en el generador de contraseas, que suele pasar
desapercibida a la mayora de los usuarios, y que se encuentra poco documentada.
Esta configuracin se realiza en la tabla PRGN_CUST, en la que pueden definirse los parmetros:
GEN_PSW_MAX_LETTERS
GEN_PSW_MAX_DIGITS
GEN_PSW_MAX_SPECIALS
Respectivamente, para definir el nmero mximo de letras, dgitos y caracteres especiales que el generador
automtico de contraseas (SU01 o SU10) va a utilizar, siempre y cuando no se contradigan con los
parmetros definidos en el perfil del sistema.
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 54 de 55
Sistema de Transporte
Existe un control poco conocido y utilizado en el sistema SAP que permite crear advertencias, o errores en el
sistema de transporte si una orden modifica algn objeto definido como crtico. Es un til sistema de control
para hacer ms simple y prctica, la revisin de las rdenes de transporte.
Para definir los objetos primero debemos asegurarnos que este chequeo est activado en el perfil de
transporte. El parmetro es CHK_CRIOBJ_AT_EXPORT y puede cambiarse su valor desde la transaccin
STMS - Resumen (documentacin de sap), el valor 0 no realizara chequeo alguno, W crea un warning y por
ltimo E genera un error en caso de encontrar un objeto crtico e impide el transporte.
La configuracin ideal habitualmente es W, para alertar al usuario responsable de los transportes.
Los objetos crticos se definen tambin en la transaccin STMS - Resumen, luego Detalles y Objetos
Crticos.
Este control es de suma utilidad a la hora de ayudar a la siempre ardua tarea de controlar que lo transportes
realizados en el sistema no comprometan la seguridad del mismo, o la confidencialidad de la informacin
que en el poseemos.
Transacciones con asignacin manual
Es posible en la transaccin PFCG agregar transacciones que no estn en el men de usuario de manera
manual directamente en los objetos de autorizacin.
Es importante saber esto al momento de revisar la seguridad configurada en nuestro sistema SAP para no
dejar pasar por alto determinados permisos que no aparecen en el men de usuario, pero si directamente en
el objeto de autorizacin S_TCODE.
Si nosotros ingresamos a modificar los valores de los objetos de autorizacin dentro de la transaccin PFCG
e intentamos incorporar un nuevo valor al campo TCD del objeto S_TCODE vamos a ver que SAP no nos lo
permite.
El pequeo truco est en ir al botn titulado Manualmente e incorporar en el mismo un nuevo objeto de
autorizacin S_TCODE de manera que ahora una nueva lnea para el campo TCD aparecer y esta
podremos editarla manualmente.
Es interesante notar que si estamos controlando los permisos de los usuarios a travs de tablas y
chequeamos la tabla AGR_TCODES, estos que incorporemos no van a aparecer ya que la misma solo
muestra las transacciones incorporadas a travs del men del Rol o Grupo de Autorizacin y tendremos que
ir a ver especficamente la tabla AGR_1251 y el campo TCD del objeto S_TCODE o ya a ms bajo nivel las
autorizaciones propiamente dichas (perfiles)
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 55 de 55
CONTROL DE CAMBIOS
CDIGO
VERSIN
FECHA
16-04-2013