Gestión de acceso de emergencia con SAP GRC

El componente de gestión de acceso de emergencia (EAM) de SAP Governance, Risk, and Compliance (SAP GRC) proporciona la base técnica para administrar y gestionar la extinción de incendios o el acceso de emergencia.

Técnicamente, puede usar una ID de bombero (una identidad de usuario dedicada con autorizaciones elevadas) o un rol de bombero (un rol asociado con los detalles relacionados con el concepto de bombero). Se registran las actividades realizadas con el ID de bombero o el rol. Para las actividades registradas, nos enfocamos en los registros de transacciones (capturados de Transacción STAD, análisis de transacciones comerciales), registros de cambios (cambios relacionados con los objetos de documentos de cambio registrados en las tablas CDHDR y CDPOS), registros del sistema (la información del registro del sistema relacionada con la depuración y reemplazo como por Transacción SM21), registro de auditoría de seguridad (captura los eventos definidos de Transacción SM20) y registros de comandos del sistema operativo (SO) (captura de cambios en los comandos del SO de Transacción SM49) y, por último, pero no menos importante, el registro de cambios de la tabla ( insertar, actualizar, eliminar, según la tabla DBTABLOG).

Aparte de algunas configuraciones técnicas para la implementación de la solución SAP Access Control , es importante entender que los registros para el bombero están disponibles solo para cambios de tabla si el registro de tabla general está activado. Los cambios en la tabla no se registran de forma predeterminada.

Piense en las tablas como casetes. Vienen con la capacidad técnica para grabar. Cuando coloque un casete en una grabadora, esto aún no será suficiente para grabar a menos que presione el botón de grabación. Esto es similar en la aplicación empresarial de SAP.

Debe activar la configuración de registro de tabla para los clientes seleccionados. La activación se realiza a través del parámetro del sistema rec/client (ver figura siguiente). Este parámetro debe tener la entrada TODOS o entradas para clientes individuales, mientras que las entradas para el cliente 000 (cliente básico) y la entrada para el cliente productivo son requisitos mínimos. La configuración se puede verificar a través de Transacción SE38 ingresando el informe RSPFPAR y luego seleccionando el parámetro rec/client.

 Este parámetro del sistema cubre los cambios de la tabla que resultan de solo cambios dentro del sistema de aplicaciones comerciales de SAP directamente. Los cambios resultantes de los transportes (por ejemplo, las importaciones de tablas de personalización desde el sistema de desarrollo, por medio de un sistema de prueba al sistema de producción) no están cubiertos. El parámetro de perfil de transporte RECCLIENTE también está activado, que se puede verificar con Transacción SE38 y reportar RSTMSTPP, seleccionando la configuración RECCLIENT (que se muestra a continuación). Para un sistema de producción, es una buena práctica registrar los cambios en todos los clientes estableciendo el valor del parámetro en TODOS . El requisito mínimo absoluto es el cliente productivo, por supuesto. Para un sistema de desarrollo o de calidad, el requisito mínimo es registrar el cliente 000 y cualquier cliente desde el que los transportes resulten en producción.

 Es importante comprender que el registro de Bomberos registra los cambios mencionados anteriormente; no proporciona un registro de visualización o similar. Por lo tanto, no es algo así como una solución de monitoreo sin interrupciones de todas las actividades de las aplicaciones comerciales de SAP. En cambio, se centra en las actividades de cambio realizadas con las autorizaciones elevadas.

¿Qué se considera extinción de incendios o emergencia? La respuesta depende de a quién le pregunte. Como regla general, no debe utilizar la lucha contra incendios para cubrir una planificación deficiente o un concepto de autorización inadecuado.

El bombero (como se ve en la tabla a continuación) no es un concepto independiente. Si está escribiendo registros, es de esperar que alguien también los revise. Tampoco otorgaría acceso a una identificación de bombero a todos los empleados individuales de su empresa. Sin embargo, debido a las autorizaciones elevadas que asocia con la extinción de incendios, desea asegurarse de que el acceso de los bomberos se asigne en función de una razón justificable, especialmente a personas capacitadas.

 En consecuencia, necesita un concepto decente y estable para administrar el acceso de emergencia.

 El propietario del proceso de negocio responsable de las áreas de negocio afectadas es propietario de los ID o roles de bombero. En el ejemplo, el bombero puede solicitar una identificación de bombero (utilizando la solución ARM) por un tiempo limitado. Con la solicitud, el bombero potencial debe proporcionar una razón justificable. El propietario del bombero recibe el elemento del flujo de trabajo con la solicitud y lo revisa y aprueba. Se envía una notificación al bombero y el bombero puede comenzar a usar la identificación del bombero. Todas las actividades de cambio se registran desde el momento en que el bombero inicia sesión con la identificación del bombero. Una vez resuelto el caso de emergencia, el bombero cierra la sesión con la identificación del bombero. El controlador de bomberos recibe un elemento de flujo de trabajo y una notificación, incluido un registro de todas las actividades cambiadas realizadas para su aprobación.

Como parte de las auditorías internas y externas periódicas, un auditor responsable revisará el proceso y comprobará los registros para asegurarse de que el razonamiento y el uso sean coherentes.

La siguiente tabla enumera los informes de EAM.

 El módulo EAM puede admitir los siguientes enfoques:

  • Un enfoque de extinción de incendios centralizado, donde la solución SAP Access Control es el punto de entrada.
  • Una extinción de incendios descentralizada que nos permite usar la plataforma de lanzamiento de EAM directamente en los sistemas de aplicaciones empresariales de backend del complemento para realizar actividades de extinción de incendios en caso de que el sistema SAP GRC no esté disponible.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .