Professional Documents
Culture Documents
3 2015 Se identificó que no se ha definido un control de monitoreo de cuentas privilegiadas del sistema
SAP.
Esta situación incrementa el riesgo de accesos no autorizados sin ser detectados.
Se recomienda evaluar la posibilidad de implementar un control de monitoreo.
Las cuentas de usuarios con perfil SAP_ALL: DDIC, SAP* y USRCPIC
Las cuentas de usuarios que se les asignó SAP_ALL udrante el 2016: ASANCHEZ y SOPORTE01
Las cuentas de usuarios con acceso a un amplio rango de transacciones:
CJARA, RSANCHEZC, JSANCHEZC, AZAVALA, LNOVOA, ASANCHEZ, BASIS_TDP, ATANIGUCHI, LDIAZM,
MCOLINA, LVALENCIA, JCARDENASD, ACOASACA, VCURO, JDELACRUZI, SAP*, DDIC, MMOSCOSOA,
JBENAVIDES y
JPINO
4 2015 Observaciones en la configuración general de seguridad de SAP
1.- Se Identificó un total de 423 usuarios con acceso a ejecutar programas de forma directa desde la
opción “System status” y sobrepasar la verificación del acceso a transacciones con la habilidad
S_DEVELOP. Entre dichos usuarios, se encuentran usuarios funcionales de negocio.
Esta situación incrementa el riesgo de accesos a funciones no autorizadas en el sistema mediante
evasión de verificación de acceso a la transacción.
Se recomienda restringir el acceso de sobrepasar la verificación del acceso a la transacción con la
habilidad S_DEVELOP solo al personal autorizado
2.- Se Identificó un total de 20 usuarios con acceso a ejecutar programas de forma directa desde la
opción “System status” y sobrepasar la verificación del acceso a transacciones con la habilidad
S_DEVELOP. Entre dichos usuarios, se encuentran usuarios funcionales de negocio.
Esta situación incrementa el riesgo de accesos a funciones no autorizadas en el sistema mediante
evasión de verificación de acceso a la transacción.
Se recomienda restringir el acceso de sobrepasar la verificación del acceso a la transacción con la
habilidad S_DEVELOP solo al personal autorizado
3.- Se encontró:
- 645 usuarios con acceso a ejecutar Jobs a nombre de otro usuario.
- 642 usuarios con acceso a procesar Batch imput a nombre de otro usuario.
Esta situación incrementa el riesgo de ejecución de Jobs y Batch imputs no autorizados en SAP.
Se recomienda restringir el acceso a ingresar y ejecutar procesos en lote y batch inputs con el uso de
otro usuario en el sistema.
4.- Verificamos que existen muchos usuarios con acceso a ejecutar commandos de BD desde SAP.
5.- Identificamos 2592 usuarios que tienen asignados los objetos de autorización. S_RFC y/o
S_RFCACL los cuales permiten ejecutar conexiones RFC. Esta situación incrementa el riesgo de
actividades no autorizadas en SAP a través de conexiones remotas.
Se recomienda configurar usuarios RFC de manera que estos no sean de tipo dialogo.
A. Para el caso de la asignación de perfil para la cuenta SPRINCIPE, identificamos que la fecha de
modificación (28.05) se realizó antes de la autorización respectivo. Esta autorización se registro en el
Formato F009 cuya fecha es 30.06.
B. De una muestra de 15 asignaciones de accesos, identificamos que 10 casos de asignación no
cuentan con la aprobación de Antonio Díaz - Jefe de Seguridad de Información, lo cual no se alinea al
procedimiento de altas de la entidad.
C. De una muestra de 15 asignaciones de accesos, identificamos que 5 casos de asignación fueron
atendidos por los Analistas de Segurida de Información, y luego se solicito la creación del ticket de
atención. Esto evidencia no se alinea al procedimiento establecido por la entidad.
A. En la revisión de la cuenta LFLORESB, identificamos que fue cesada por RRHH el 16.03, sin embargo
no se identificó el bloqueo respectivo y fue borrado luego de 29 días por el área de Seguridad de la
Información. Al revisar los posibles motivos del retraso, identificamos que el Job automático que
informa sobre los ceses realizados en el día por RRHH no indicó el cese del usuario LFLORESB, por lo
cual, se evidencio que el cese no se realizó en el tiempo oportuno por la inefectividad del job.
Update testing
Update testing
A. La cuenta FROJAS del usuario ROJAS BONILLA FELIX RENZO fue cesado en el sistema el 16.08 y el
área de Seguridad de Información realizo el borrado el 24.08, lo cual indica que hubo un retraso de 8
días y la cuenta estuvo vigente. Cabe indicar que la cuenta no fue bloqueada.
7 2015 Cambios a programas sin conformidad de los usuarios de negocio previo al pase a producción
Se identifició que las ordenes de transporte DEVK9A2YUM y DEVK9A2Z46 no contaron con una
conformidad por parte de los usuarios de negocio previo al pase a producción.
Este hecho se encuentra asociado al riesgo de posibles pases a producción no autorizados
Se recomienda evaluar la posibilidad de reforzar el cumplimiento de la fase de certificación por parte
de los usuarios de negocio con el fin de minimizar el riesgo identificado.
8 2015 Observaciones en los accesos a realizar cambios directos a los programas y datos
9 2015 No se cuenta con un estándar formalmente establecido para la descripción de los órdenes de
transporte
Se identificó que 23 usuarios cuentan con acceso a bloquear datos que son actualizados por otros
usuarios.
Se identificó que más de 600 usuarios cuentan con acceso a administrar, liberar y eliminar procesos
job de fondo.
Se identificó que 141 usuarios cuentan con acceso no autorizado a configurar archivos del sistema SAP.
12 2016 Ausencia de documentación sobre los acuerdos en las reuniones mensuales - Telefónica
En nuestra revisión de auditoría sobre el monitoreo de los servicios tercerizados, identificamos que se
realizan reuniones mensuales con el equipo de Telefónica y los acuerdos se registran en Actas de
Reunión. Sin embargo, en el caso de Setiembre 2016, no se evidenció el acta de acuerdos de la
reunión sostenida.
El presente caso demuestra la ausencia de no contar con el adecuado seguimiento sobre los servicios
prestados por Telefónica, y por ello, no garantizar el cumplimiento de los indicadores de los servicios.
Recomendamos poder registrar los acuerdos en un acta de reunión como también en una bitácora de
proyectos o servicios prestados para realizar un adecuado seguimiento por parte de Gloria.
Adicionalmente, almacenar los reportes, actas y otros documentos sustentarios en un repositorio de
información.
Procedimiento Adicional
(1) y (2) Estas debilidades no representan un riesgo para nuestro enfoque dado que se cuenta con otros controles
implementados por la compañía que responden al riesgo, asimismo el procedimiento que sigue la compañía para
los diferentes procesos se encuentran implementados correctamente.
(3) En la revisión de Basis se ha revisado los logs de las cuentas privilegiadas, las cuales representan el mayor
riesgo por los accesos que cuentan, como resultado no encontramos ocurrencia de accesos no autorizados. Así
mismo se revisó que las cuentas tengan los accesos acorde a las funciones que desempeñan en la compañía.
(4) Se revisará las bajas oportunas del SAP en el ega de ceses, en estos se detallaran los procedimientos
adicionales en caso no se haya efectuado oportunamente. Ver: APD002 - Los usuarios cesados son eliminados
oportunamente.
(5) Se revisará en el testing de modificaciones que sólo usuarios autorizados, es decir del área de seguridad de la
información hayan modificado perfiles de usuarios, ya que esta área tiene a cargo la evaluación de la factibilidad
(se encuentra autorizado, con el formato debidamente aprobado, no generaría un conflicto SOD). Ver: APD001 -
Las solicitudes de asignación de accesos son debidamente aprobadas.
(6) La situación reportada es una oportunidad de mejora, la cual no amerita la ejecución de procedimientos
adicionales.
Para los usuarios con altos privilegios identificados, revisamos los siguientes logs:
- Change Document Summary Analysis.
- Posting Creatio Analysis.
- E0070 y TPLOG
1. Para ejecutar un programa de manera no autorizada se debe conocer la opción de system status, así como se
debe saber el ID del programa el cual debe ser ejecutable. Asimismo para ejecutar un programa además del
acceso a la transacción el SAP valida los objetos de autorización.
Revisamos con apoyo del log de las pruebas ACE y verificamos que ninguno de los usuarios ha ejecutado las
transacciones relacionadas a la habilidad S_DEVELOP.
Adicionalmente, se extrajó el log de contabilización; y sobre las transacciones que hayan venido de
transacciones Zetas e Ys se verifico que hayan sido realizadas por usuarios autorizados.
2. Para ejecutar un programa de manera no autorizada se debe conocer el acceso a la transacción con la
habilidad S_PROGRAM, así como se debe saber el ID del programa el cual debe ser ejecutable.
Se reviso el transaction log y se verificó que no se ha utilizado las siguientes transacciones: EWFM, EWFZ o SA38.
Adicionalmente, se extrajó el log de contabilización; y sobre las transacciones que hayan venido de
transacciones Zetas e Ys se verifico que hayan sido realizadas por usuarios autorizados.
3. Se procedió a descargar la tabla TBTCP y se identifico que hubó 61 usuarios en el periodo de revisión que
ejecutaron jobs con privilegios de otros.
Sin embargo, se identificó que los jobs son en su mayoría de tipo mensajes (ACTFIN), relacionados a bloqueos o
de programación de las áreas de logística y despacho.
Cabe mencionar que para poder ejecutar un programa a nombre de otro usuario, debe conocer el ID del
programa y el ID del usuario que tienen los privilegios para ejecutar dicho programa, lo cual incrementa la
complejidad para ejecutar dicho tipo de operación.
4. Con apoyo de los archivos QJF procedimos a revisar los reportes ACETLD, y comprobamos que no se ha
ejecutado el programa RSDU_EXEC_SQLen el periodo de revisión.
5. Se identificó que de los usuarios identificados con acceso no autorizado no tienen acceso al host de
producción.
A. Si bien la autorización mediante el formato F009 se realizó en una fecha posterior a la fecha de asignación del
acceso, identificamos que el flujo cumple con las autorizaciones correspondientes, es decir, cumple con la
autorización de Mercedes Loaiza Robles - Superintendente de Planta Trupal y Antonio Díaz - Jefe de Seguridad de
la Información. Cabe indicar que este caso fue regularizado.
B. Si bien verificamos que en 10 casos no se contó con la autorización del Jefe de Seguridad de Información,
identificamos que estos fueron solicitados por una necesidad del negocio y cuentan con la aprobación de la
gerencia respectiva, como también la aplicación o asignación del acceso lo realizó un miembro del área de
Seguridad de Información.
C. Si bien los 5 casos son regularizaciones para el registro de la solicitud en ticket, la solicitud como las
autorizaciones del negocio se realizaron. Cabe mencionar que estos requerimientos fueron atendidos por el área
de Seguridad de Información.
Adicionalmente a los puntos antes mencionados, es importante resaltar que los analistas de seguridad antes de
brindar/asignar los accesos solicitados, revisan el rol/perfil actual del usuario con el fin de evitar un conflicto en
la segregación de funciones. A partir de lo mencionado, no se identificó algún riesgo que impacte a la presente
auditoría.
Asimismo los analistas observan/revisan si el acceso solicitado antes de asignarlo, presentan un conflicto,
asimismo se ha observado que habian correos cuestionando los posibles conflicto SoD
Se revisó el archivo Posting Log, y se verificó que el usuario no ha tenido ocurrencia alguna.
Se procedio a revisar el change document log y sólo se encontró al usuario en el mes de agosto (mes de cese) y la
transacción es VA02 (change sales order) la cual está autorizada a ejecutar según su función. Por otro lado,
revisamos el Posting creation log y no encontramos ocurrencia de contabilizaciones por dicho usuario en el
periodo de revisión.
En el control 8 de las revisiones técnicas se pudo identificar que los parámetros de cambio de contraseña se
encuentran de acuerdo a las buenas prácticas( tamaño de 8 caracteres y cambio cada 60 días) , reduciendo de
esta manera el riesgo de vulnerabilidad de las mismas.
Asimismo, se cuenta con restricción del acceso al sistema operativo
Se contó con la conformidad de los usuarios de negocio a modo de regularización, con lo cual se mitiga el riesgo
de que el pase a producción no se encuentre alineado a lo solicitado por personal del negocio.
DEVK9A2YUM - Cambio para liberar un pedido en el ciclo de distribución - Deprodeca y DEVK9A2Z46 - Cambio
refernte al proyecto MTO de Trupal.
1: Se verificó en el BPCC014 que la única apertura del mandante fue realizada por el usuario ASANCHEZ el 22 de
Mayo del 2016 y dicho usuario es autorizado y la apertura del mandante fue una apertura controlada.
2: Se verificó en el BPCC014 que la única apertura del mandante fue realizada por el usuario ASANCHEZ el 22 de
Mayo del 2016 y dicho usuario es autorizado y la apertura del mandante fue una apertura controlada.
3: Se verificó en el BPCC014 que la única apertura del mandante fue realizada por el usuario ASANCHEZ el 22 de
Mayo del 2016 y dicho usuario es autorizado y la apertura del mandante fue una apertura controlada.
Asimismo, no identificamos que se hay realizado cambios directos a programas en el ambiente de producción.
Se ha revisado el control de cambios a los programas, y verificado el correcto flujo de aprobación, pruebas y
aprobación para el pase a producción.
2: Se cuenta con controles de acceso por aplicación a SAP que limitan el riesgo de acceso a información sensible
de la compañía.
En la revisión identificamos que no se contó con un acta de reunión del mes de Setiembre 2016, sin embargo, se
realizaron las actividades de los acuerdos de forma individual por cada responsable de TI, los cuales son
presentados en cada comité de sistemas. Estas reuniones son internas y a demanda, remitiendo los principales
acuerdos y lineamientos que se pactaron durante el comité a las jefaturas del área de sistemas de Gloria vía
correo electrónico. La correspondiente validación, se encuentra en el siguiente EGA:
Reuniones periódicas de la Gerencia de TI
Resultado
Satisfactorio
Satisfactorio
Satisfactorio
Satisfactorio
Satisfactorio
Satisfactorio
Satisfactorio
Satisfactorio
Satisfactorio
Satisfactorio
Satisfactorio
Satisfactorio
Satisfactorio
Satisfactorio
Satisfactorio