La seguridad SAP es un tema al que las organizaciones le dan mayor importancia, años atrás se dejaba para una etapa posterior al proceso de implementación, pero la mayor preocupación que existe por evitar riesgos y fraudes le han dado más visibilidad.

Esta nota está dirigida a los usuarios en general que utilizan el sistema SAP, tanto en la pequeña y mediana empresas así como en las grandes organizaciones nacionales e internacionales, quienes no siempre están informados de cómo se realiza el control de accesos en un sistema SAP.

Hace unos años la seguridad de SAP se administraba con menos complejidad y se manejaba mediante Perfiles de Autorización, que tienen mucha similitud con un Rol.

Los roles son un medio para permitir el acceso o ejecutar una función determinada dentro de una transacción. Un perfil es un conjunto de autorizaciones que se le asignaba directamente a un usuario. Las personas hoy hablan de Roles en terminología SAP, pero en las versiones actuales SAP, se trabaja con perfiles por debajo de los roles. Por cada rol puede existir uno o más perfiles creados automáticamente por el sistema SAP que van a ser los que efectivamente activan las autorizaciones.

Los perfiles pueden crearse manualmente y asignarse a un usuario, o utilizar uno preexistente. También existen perfiles que vienen en la instalación de un sistema SAP que pueden ser asignados a los usuarios finales y que muchas veces contienen autorizaciones sumamente amplias, como es el caso del perfil SAP _ALL que contiene todas las autorizaciones del sistema. Asignar a un usuario el perfil SAP_ALL constituye un riesgo muy grande en la a la seguridad de sistema SAP. Si un usuario posee este perfil, tiene el control total del sistema, situación que el cliente en muchas ocasiones tiende a minimizar.

Tips de buenas prácticas en el control de cambios SAP ERP, R3, BW, etc.:

– Los cambios en las organizaciones que poseen el ERP SAP pueden ser por: mantenimiento de programas, mantenimiento de tablas (customizing), roles/perfiles de usuarios (la mantenimiento contempla: creación, modificación, eliminación).

Los cambios se deben hacer en un ambiente de desarrollo y ser probados en un ambiente de calidad antes de ser pasados a productivo. No es recomendable hacer cambios directamente en ambiente productivo, según las mejores prácticas de SAP.

– Es recomendable poseer un ambiente SANDBOX para hacer ciertos cambios de pruebas funcionales ya que éstos no deben de ser realizados directamente en el ambiente de calidad (QAS) Porque se perdería el propósito de ser un ambiente de pruebas justo antes de producción.

– El ambiente productivo debe permanecer cerrado y protegido de tal manera que no se pueda hacer transportes desde este mandante a otro (no puede ser mandante de origen de un cambio; solamente mandante de destino). Los cambios no deben ser transportados desde ambiente de productivo a calidad.

Para organizaciones con un gran número de usuarios o que necesitan modificar continuamente los usuarios y perfiles, se recomienda el uso de la suite SAP Business Objects GRC, que ayuda a automatizar el modelo de control interno en relación a la segregación funcional en los accesos, control de procesos y la gestión integral de riesgos.

Seguridad SAP