Auditoría en un entorno SAP

La tarea a desarrollar consiste en un proceso de capacitación técnica aplicada e integral, acompañada por ejercitación práctica, con el fin de que los participantes adquieran conocimientos concretos para poder realizar una auditoría de controles generales de IT y aplicativos en un ambiente SAP.

Los talleres disponibles son

En este módulo se verán los procesos mediante los cuales se asocian los roles a los usuarios, su administración, los parámetros específicos y la forma de auditarlos

Objetivos de Cobit

Los objetivos de Cobit incluidos en este módulo son:

AI7 Instalar y acreditar soluciones y cambios

AI7.1 Training

AI7.2 Test Plan

DS5 Garantizar la seguridad de los sistemas (DS 5.3, 5.4 y 5.7)

DS5.3 Identity Management

DS5.4 User Account Management

DS5.7 Protection of Security Technology

DS9 Administrar la configuración

DS9.2 Identification and Maintenance of Configuration Items

Secciones de la normativa 4609, aplicables a este módulo:

3.1.4.3. Programas de utilidad con capacidades de manejo de datos – Usuarios privilegiados y de contingencia.

3.1.4.4. Registros de seguridad y pistas de auditoría.

Temario del módulo

1. Entendimiento de la estructura de los permisos en SAP

1.1. Diferencias con una Auditaría estándar

1.2. Objetos de autorización

1.3. Autorizaciones

1.4. Usuarios

1.5. Perfiles

1.6. Roles

1.7. Proceso de administración de usuarios en SAP

1.8. Tipos de Transacciones (Enjoy , Parameters)

2. Usuarios 2.1.1. Tipos de usuarios

2.1.2. Riesgo de Usuarios genéricos

2.1.3. Uso de la SUIM

3. Configuración de parámetros de sistemas

3.1.1. Parámetros de configuración de password de usuarios

3.1.2. Parámetros de SAP 3.1.3. Logs

El objetivo de este módulo es comprender la forma en que se realizan los transportes entre los distintos mandantes de SAP, cuales son los valores adecuados y como deben ser auditados.

Objetivos de Cobit

AI 6 Administración de Cambios

AI6.1 Change Standards and Procedures

AI6.2 Impact Assessment, Prioritisation and Authorisation

AI6.3 Emergency Changes

AI7 Instalar y acreditar soluciones y cambios

AI7.4 Test Environment

AI7.6 Testing of Changes

AI7.8 Promotion to Production

AI7.9 Post-implementation Review

DS5 Garantizar la seguridad de los sistemas

DS5.5 Security Testing, Surveillance and Monitoring

DS5.11 Exchange of Sensitive Data

DS9 Administrar la configuración

DS9.1 Configuration Repository and Baseline

Secciones de la normativa 4609, aplicables a este módulo:

3.1.4.2. Estándares de acceso, de identificación y autenticación, y reglas de seguridad.

3.1.4.4. Registros de seguridad y pistas de auditoría.

4.4. Plan de continuidad del procesamiento de datos.

5.6. Administración de las bases de datos

5.8. Control de cambios a los sistemas productivos.

5.9. Mecanismos de distribución de información.

Temario del módulo

1. Entendimiento de los cambios en SAP

1.1. Customizing vs. Programming

1.2. Debugging

1.3. Clave de desarrollador (Developer Key)

1.4. Proceso de Transporte de programas en SAP 2. Transportes

2.1. Etapas

2.2. Datos dependientes de mandante

2.3. Datos independientes de mandante

2.4. Segregación de funciones

3. Acceso a Datos

3.1. Mantenimiento de Tablas

3.2. Visor de tablas

3.3. Registro de auditoría

4. Segregación de Funciones

4.1. Estructuras y metodología de auditoría

4.2. Procesos y Responsabilidades

4.3. Métodos de revisión

El objetivo de este módulo es comprender la forma en que se realizan los procesos de administración y actualizaciones en el ambiente SAP y cómo deben ser auditados.

Objetivos de Cobit

DS3 Administrar el desempeño y la capacidad (DS3.4. y DS3.5)

DS3.4 IT Resources Availability

DS3.5 Monitoring and Reporting

DS4 Garantizar la continuidad del negocio (DS4.5 y DS 4.7)

DS4.5 Testing of the IT Continuity Plan

DS4.7 Distribution of the IT Continuity Plan

DS5 Garantizar la seguridad de los sistemas (DS5.6)

DS5.6 Security Incident Definition

DS9 Administrar la configuración

DS9.1 Configuration Repository and Baseline

DS11 Administrar los datos

DS11.5 Backup and Restoration

DS11.6 Security Requirements for Data Management

DS13 Administrar las operaciones

DS13.2 Job Scheduling

DS13.3 IT Infrastructure Monitoring

AI7 Instalar y acreditar soluciones y cambios

AI7.2 Test Plan

AI7.5 System and Data Conversion

Secciones de la normativa 4609, aplicables a este módulo:

3.1.4.4. Registros de seguridad y pistas de auditoría.

3.1.4.5. Alertas de seguridad y software de análisis.

3.1.4.5. Alertas de seguridad y software de análisis.

3.1.5.1. Control y monitoreo

5.4. Procedimientos de resguardos de información, sistemas productivos y sistemas de base.

Temario del módulo

1. Ejecución de procesos de fondo

1.1. Batch Jobs

1.2. Batch Input

2. Comandos externos

2.1. Ejecución de commandos del sistema Operativo (Executing OS Commands)

2.2. Ejecución de commandos de la base de datos (Executing DB Commands)

3. Backups

4. RFC

5. Archiving

6. Interfaces y métodos de revisión

Transmitir a los participantes (auditores) el conocimiento necesario para que puedan llevar a cabo una auditoría en un entorno SAP.

  • Son objetivos del curso que los participantes:
  • Entiendan los fundamentos de riesgo y control;
  • Puedan evaluar los riesgos asociados a los recursos vinculados a los procesos vigentes;
  • Determinen los controles aplicables frente a los riesgos detectados y se encuentren en condiciones de verificar su existencia y efectividad;
  • Puedan desarrollar una Planificación de acción para realizar auditoría en un ambiente SAP. Por tal motivo nuestra propuesta es dividir este curso de revisión de los controles de IT en tres módulos

Cada uno de los módulos ha sido pensado para que sea compatible con los objetivos de control de Cobit y con los solicitado por la normativa del BANCO CENTRAL DE LA REPÚBLICA ARGENTINA, COMUNICACIÓN “A“ 4609.

Cada módulo tiene la siguiente carga horaria

  • Administración de usuarios : 24 horas
  • Cambios a los programas: 16 horas
  • Administración de sistemas: 6 horas
  • Facebook
  • Twitter
  • Google Plus
  • LinkedIn
  • Add to favorites
  • Email