En el ERP de SAP, el maestro de usuarios es tan crítico que requiere resguardarlo y monitorearlo en forma continua, tanto en los ambientes de desarrollo como de producción.
En los foros de Internet constantemente hay preguntas de este estilo: ¿Qué hacer con la cuenta de usuario SAP ERP si un empleado deja la entidad? La respuesta a esta recurrente pregunta es clara y desde el punto de vista de control interno es recomendable bloquearla y desvincularle la totalidad de sus roles, perfiles y autorizaciones. Asimismo, es aconsejable asociarla a un grupo de usuarios, que puede ser llamado “Exempleados” o algo representativo, a fin de mantenerlos monitoreados y clasificados de una manera fácil.
Otra pregunta frecuente es ¿Por qué no es recomendable eliminar a los usuarios en el sistema SAP ERP? La respuesta es fácil: al eliminarlos existe el riesgo de alterar la trazabilidad histórica de la cuenta eliminada, ya que generalmente los User Id son creados entre una mezcla de la inicial del nombre y apellido, por ejemplo JPEREZ para asociar la cuenta del usuario Juan Pérez. Entonces, si el empleado Juan Pérez abandona la entidad o es desvinculado y si su cuenta es eliminada, en un futuro podría darse el caso de que llegue un nuevo empleado Jorge Pérez y le sea asignado el User Id JPEREZ, con lo que la trazabilidad asociada a las transacciones realizadas por este User Id si bien no se pierde sí podría verse alterada.
También es importante mantener monitoreadas y resguardadas las transacciones que permiten crear, modificar y eliminar las cuentas de usuario (transacción SU01) con la restricción y segmentación de sus respectivos objetos de autorización que permiten ejecutar alguna de estas acciones.
Se debe tener mucho cuidado respecto a la asignación a un mismo usuario de las transacciones SU01, SU02 y PFCG, dado que genera un conflicto de segregación de funciones (SoD, por sus siglas en inglés), pudiendo con estos privilegios crearse un usuario en forma indebida y asignarle roles, perfiles y autorizaciones amplios en el sistema SAP ERP.
A continuación, comparto algunas consideraciones clave a tener en cuenta en materia de seguridad del maestro de usuarios en SAP:
- Baja de usuarios
- Como ya se dijo, no eliminar la cuenta de un usuario que deja de pertenecer a la entidad.
- Se debe bloquear al usuario inmediatamente.
- Hay que desvincular inmediatamente la totalidad de los roles, perfiles y autorizaciones de la cuenta de usuario que deja la entidad.
- Clasificar a estos usuarios en un grupo especial y representativo, a fin de mantenerlos monitoreados de forma sencilla.
- Privilegios de usuarios.
- Restringir y monitorear los privilegios para la creación, modificación y eliminación de usuarios en el sistema.
- Restringir y monitorear los privilegios para la creación de roles, perfiles, autorizaciones y su asignación a un User Id.
- Segregar los privilegios para creación de usuarios, roles, perfiles y autorizaciones.
- Monitorear continuamente el maestro de usuarios.
- Usar cuentas de usuario que sean representativas de quien las usará y evitar el uso de cuentas genérica en aquellos que ejecutan transacciones de creación, modificación, actualización o eliminación. Eventualmente se podría usar cuentas genéricas restringidas con privilegios de visualización, pero con el debido resguardo de la confidencialidad de la información.
- Monitorear de manera continua la integridad en la creación de datos maestros de usuarios.
- Normatividad
- Crear y difundir políticas y procedimientos para regular lo arriba mencionado.
- Establecer mecanismos para la aplicación, revisión y actualización permanente de las políticas y procedimientos.
@pdhernandezf
Deja tu comentario