Aunque los objetos de autorización son componentes básicos en el mundo de la autorización de SAP, consiguen que SAP sea un entorno mucho más seguro. Muchas organizaciones sostienen que se deben utilizar los objetos de autorización como si fueran especias: si se usan correctamente, mejoran el sabor de un guiso y uno no puede vivir sin ellas. Pero si se usan en exceso, arruinan el plato y el mecanismo de autorización se vuelve casi ingobernable.
En general, los objetos de autorización añaden una capa de seguridad extra a los códigos T; en esa capa, se pueden hacer cosas como limitar al usuario a visualizar solo determinados grupos de materiales o materiales de un departamento específico (mediante el código T MM03), o crear documentos financieros solo para sociedades específicas.
Es importante definir los objetos sensibles de autorización
Las organizaciones deben tener una relación de objetos de autorización sensibles. Pero ¿cómo se obtiene esta relación? Mediante preguntas como «¿Cuáles son nuestros objetos de autorización más importantes?»; ¿Por qué es este tan importante? ¿Y este otro?».
Los objetos de autorización sensibles deben inspeccionarse cuidadosamente, en especial porque: a) solo deberían concederse a los empleados adecuados; b) deberían inspeccionarse minuciosamente durante procesos periódicos de examen de la autorización; y c) debería emitirse una alerta cuando se concedan a nuevos usuarios.
Obsérvese que el apartado c) no es menos importante que los apartados a) y b). Conceder objetos sensibles a la persona equivocada podría implicar una intención de fraude, y alertar sobre ello podría salvar al CISO de perder el trabajo.
¿Cuáles son los tres objetos de autorización más importantes para la mayoría de las empresas?
Es interesante que compare su lista con la de otros. Los siguientes tres objetos de autorización son los más utilizados por nuestros clientes:
- F_BKPF_BUK: Controla a qué sociedad se le permite al usuario contabilizar documentos financieros
- V_VBAK_AAT y V_VBAK_VKO: Autorizaciones para clases y áreas de documentos de ventas
- Objetos HR: P_ORGIN y PLOG – Para restringir el acceso a ciertos infotipos y áreas de RR. HH.
*Esta lista se confeccionó mediante ProfileTailor Dynamics Role Matrix para identificar fácilmente los objetos de autorización más utilizados en las funciones.
