Nos mudamos! Hemos lanzado en fase beta la nueva plataforma de Ayuda SAP en español.
La información expuesta aquí quedará por tiempo determinado a fines informativos, pero puedes preguntarnos más en la nueva plataforma! Anímate a participar, es gratis!
Nos mudamos a Ayuda SAP en español, somos los mismos!
Agrega a tus favoritos: http://foros.consultoria-sap.com

Inquietud sobre acceso ambiente PRD.

#1
Saludos amigos(a) foristas,

Quiero ver si alguien puede ayudarme en lo siguiente:

Quiero saber si es posible documentar ó referenciar en algún marco de trabajo o buenas practicas, el riesgo que existe al un Desarrollador en SAP, tener acceso al ambiente productivo con una cuenta de usuario como superusuario. quiero explicar lo mas detallado posible el impacto del riesgo en cuestión. y ver si alguna norma habla sobre el tema.

Gracias anticipadas y saludos.

Rafael Salcedo.
Responder
#2
Hola Rafael, cuando decís permisos de "super usuario" hablamos de acceso "SAP ALL" ???
  • Esta comunidad de ayuda se ha movido a nueva plataforma, clic ahora:
    http://foros.consultoria-sap.com
  • Es gratis, misma gente, misma ayuda, más flexibilidad, más rápido! Anímate a participar!
Responder
#3
(18-02-2015, 07:52 PM)SidV escribió: Hola Rafael, cuando decís permisos de "super usuario" hablamos de acceso "SAP ALL" ???

Gracias por responder,

Realmente no es  SAP ALL, el colaborador  formo parte del equipo de implementacion de SAP, por lo tanto quedo como superusuario para dar respuesta a cualquier caso del mudulo de materiales, el luego paso a ser programador pero le han dejado su cuenta de usuario final creada, tienes el rol de Programador ABA y tiene acceso aL ambiente productivo mediante su cuenta de usuario final.  
Responder
#4
Bueno Rafael, pero entonces no sabemos a qué te refieres con "super usuario".-
Sabes qué roles tiene asignado? Tiene "asteriscos" en todos los grupos de autorización?

El riesgo de que un usuario "técnico" (desarrollador) tenga acceso de nivel "x" (lo que tu llamas super usuario), implica alto riesgo ya que podrá visualizar cualquier dato de la compañia, más si tiene acceso a tablas.

Los técnicos por lo general poseen conocimientos de tablas y campos, con su respectiva relación, por lo que si tiene acceso a todas las tablas de SAP podría "visualizar" cualquier información saltandose los permisos que tendría que validar una transacción funcional.

Saludos
  • Esta comunidad de ayuda se ha movido a nueva plataforma, clic ahora:
    http://foros.consultoria-sap.com
  • Es gratis, misma gente, misma ayuda, más flexibilidad, más rápido! Anímate a participar!
Responder
#5
(19-02-2015, 03:20 PM)SidV escribió: Bueno Rafael, pero entonces no sabemos a qué te refieres con "super usuario".-
Sabes qué roles tiene asignado? Tiene "asteriscos" en todos los grupos de autorización?

El riesgo de que un usuario "técnico" (desarrollador) tenga acceso de nivel "x" (lo que tu llamas super usuario), implica alto riesgo ya que podrá visualizar cualquier dato de la compañia, más si tiene acceso a tablas.

Los técnicos por lo general poseen conocimientos de tablas y campos, con su respectiva relación, por lo que si tiene acceso a todas las tablas de SAP podría "visualizar" cualquier información saltandose los permisos que tendría que validar una transacción funcional.

Saludos

Gracias por tu ayuda,
Te explico, lo de superusuario se refiere a que tiene privilegio por encima de un usuario final común, tiene acceso a muchas transacciones criticas e incluso a tiene rol de Gestion de usuario, me interesa saber como documento el risgo que implica esa situacion y si existe algun marco de trabajo, metodologia y/o buenas practicas donde yo pueda referenciar. 





Aca te envio un pequeño ejemplo de los roles que tiene el usuario.

Z_ABAP_PROG  Programador ABAP

Z_ABAP_PROGRAMADOR Programador ABAP Workflows
Z_BC_GESTION_USUARIO Gestion de Usuarios
Z_BC_TUSERS  Rol Tecnico para todos los usuarios
Z_BC_TUSERS_CR Rol Tecnico para todos los usuarios
Z_BC_USER_CUSTOMIZER  Parametrizaciones de usuarios
Z_BC_USER_CUSTOMIZER_CR Parametrizaciones de usuarios
Z_BC_VIS_TABLA  Visualizador Datos Tablas
Z_BC_VISDAT  Visualizacion Datos
Z_CO_VCCR  Vis y Rep de Calc Costo Real
Z_CO_VIRECOCC_SALDI Visualizador Gerente Senior de CeCO Distribución y PT
Z_CO_VIRECOCC_SLOME Visualizador Gerente Senior de Centro de MP, Rep, Metálico y Segunda
Z_CO_VIRECOOI_GCOST_OPERA  Visualizador Ordenes Operaciones
Z_CO_VIRECOOI_GCOST_ZILI_PID  Visualizador Corporativo Ordenes Internas
Z_CO_VIREPCPO  Vis. y Rep. Planif CO Prod. y OP
Z_CR_MM_IM_ADMIALMA  Administrador de Almacen

Gracias y saludos,
Responder
#6
Hola!

De acuerdo a lo que comentas, por buenas prácticas los usuarios de TI no deben ejecutar transacciones de operación en ambiente productivo, esto es más controlado cuando tienes implementada la herramienta GRC (Gobierno, Riego y Cumplimiento), en específico  Access Control.

Sin embargo, aún cuando no tengas esa herramienta de SAP, puedes documentar, estableciendo un procedimiento y políticas para mitigar los riesgos que se puedan presentar por la asignación de accesos críticos.

Los usuarios de TI, como lo es el consultor, no deben tener transacciones de operación en el ambiente productivo, ya que para eso están los usuarios finales. El consultor debe guiarles en sus dudas, capacitarlos y brindarles el apoyo necesario para la ejecución de sus funciones.

Sabemos que en la operación se pueden presentar problemas en donde el Consultor requerirá tener acceso a transacciones de operación para replicar el problema, para estos casos existen los roles Fire Fighter que son accesos de emergencia como lo dice su nombre y sólo se proporcionan por tiempo limitado (máximo 5 días).

Si utilizas los roles fire fighter podrás tener más controlados los accesos de los consultores ya que serán para casos específicos, además de que podrá realizarse también un log de auditoría para validar el uso que hizo de sus accesos, así no le dejas acceso críticos de forma permanente sino únicamente limitado y para casos de emergencia.

Otra de las cosas que debes validar es que el Consultor no tenga accesos en productivo para modificar configuración, ya que veo que roles específicos de ABAP programador, debes tener cuidado en que toda modificación de configuración pase como debe ser a través de un transporte del ambiente de desarrollo a calidad y posteriormente a productivo.

Espero te ayuden en algo mis comentarios.

Saludos!!
Responder
#7
Mil gracias por tu valioso aporte, te agradezco mucho tu colaboración que me servirá de mucho, en realidad es exactamente lo que quería saber.

Saludos cordiales,
Responder
#8
SAP recomienda que solo deben tener acceso los usuarios finales.

También por experiencia propia sugiero que cada cierto tiempo se homologue los ambientes de calidad que es donde como ultimo recurso personal de sistemas deba realizar las pruebas ya sea de datos y/o problemas técnicos.

He conocido por experiencias de otros colegas que algunas veces borran de manera accidental algún dato de una tabla y como resultado tienen que restaurar toda la BD de SAP, recuerda que eso toma tiempo y recursos.

Esto muchas veces no es tomado en cuenta por los Gerentes de Sistemas hasta que sucede un accidente.

Espero te sirva.

Saludos.
"La innovación distingue a un líder de un seguidor"
Steve Jobs - Apple
Responder



Salto de foro:


Usuarios navegando en este tema: 1 invitado(s)