Quali controlli è possibile fare in SAP? Sei un auditors? Ecco una lista delle transazioni da avere!
L'attività di auditing su SAP può essere suddivisa in due macro ambiti:
In questo post parliamo di questo ultimo caso.
Esistono infatti una serie di controlli IT da porre in essere nel sistema noti anche come IT general controls (ITGC).
Esistono molti ambiti di controllo, nonostante sia coinvolto un solo processo, quello basis.
Risulta quindi utile identificare i vari ambiti di riferimento.
E tu che abilitazioni SAP chiedi quando devi fare un audit? Vediamo assieme quali sono le transazioni minime per iniziare ad affrontare un audit sul processo SAP basis.
Una delle transazioni principali in questo caso è la RSPFPAR. Questa transazione permette di vedere la configurazione dei profili d'istanza SAP.
Nonostante la parola possa trarre in inganno, non si fa riferimento ai "profili autorizzativi" ma piuttosto a tutto una serie di configurazioni che SAP mette a disposizione e che legge durante l'avvio della macchina.
Un caso di esempio? La complessità delle password. Queste parametrizzazioni sono definite in un file di testo (profili istanza SAP) ed attivate durante l'avvio di SAP.
Alcuni di questi profili possono essere dinamici, ovvero è possibile cambiarli "a caldo" senza il riavvio della macchina, altri sono statici, quindi serve un riavvio della macchina SAP.
Nella colonna "User Value" se presente un valore significa che è stato esplicitamente configurata quella determinata opzione. Altrimenti il sistema considera il valore di default impostato da SAP.
Tramite la transazione RZ11 è possibile vedere la documentazione estesa di questi profili d'istanza (oppure attraverso il sito dell'help SAP) mentre tramite la transazione RZ10 è possibile modificare le valorizzazioni. Queste due ultime transazioni possono non essere necessarie per le finalità di audit.
Mentre potrebbe essere utile la transazione TU02 che permette di vedere le modifiche apportate alla configurazione dei profili d'istanza SAP.
Ma cosa vedere in questo caso?
In questo caso le transazioni di riferimento sono le seguenti:
Qui un approfondimento sul controllo delle utenze speciali SAP (SAP*, DDIC, TMSADM) e sul controllo del mandante (client) SAP.
Tramite la transazione RSAUDITC_BCE è possibile verificare le transazioni bloccate a livello di sistema.
Hai fatto bloccare tutte le transazioni custom che non vengono utilizzate? A seguito puoi pensare di farle rimuoverle dai ruoli e successivamente rimuoverle dal sistema.
Attraverso la transazione SCU3, se attivo il profilo d'istanza del table trace, è possibile vedere le modifiche effettuate direttamente in produzione.
Attenzione, la tabella deve essere sotto log? Come possibile verificarlo?
Tramite la transazione RDDPRCHK_AUDIT è possibile verificare se su una certa tabella non è attivo il log. Questa informazione è anche recuperabile dalla transazione SE13 (tuttavia quest'ultima fa riferimento ad attività da sviluppatore)
Puoi inoltre limitare temporalmente la visibilità dei log, utilizzando il report RFTBPROT_BCE, segui la nota OSS 2593308 - RFTBPROT_BCE | Evaluation for table change logs
Attraverso la transazione CUSTMON1 è possibile vedere quali sono.
Perché è importante conoscerli?
Negli sviluppi custom spesso si nascondono le maggiori problematiche di sicurezza.
SAP utilizza il meccanismo dei trasporti TMS (Transport Management System) per spostare una certa modifica dal sistema di sviluppo a quello di produzione.
Attraverso questa transazione RSAUDITM_BCE_IMPO è possibile vedere chi ha importato le CR nell'ambiente target.
Attenzione l'owner della richiesta di trasporto (change Request) può essere diverso da chi ha fatto l'import nel sistema di arrivo.
Tramite la funzionalità di Import History -> Show more è possibile vedere l'owner della CR e l'utente SAP che ha fatto l'import di quella change request.
Scarica qui sotto l'elenco completo delle transazioni da auditor IT in formato EXCEL.