En muchas organizaciones, el acceso al sensible SAP T-Code SU01 es mucho más amplio de lo necesario. Exploremos por qué.
El SU01 se emplea para diferentes propósitos, pero más comúnmente para crear nuevas cuentas de usuario, restablecer las contraseñas de los usuarios y bloquear o desbloquear cuentas de usuario. Los administradores de sistemas utilizan el SU01 para crear usuarios y cambiar los detalles de estos, y el equipo del servicio de asistencia técnica utiliza el SU01 para desbloquear usuarios y restablecer contraseñas (porque la mayoría de ellos acaban por olvidar sus contraseñas).
El uso del SU01 es garantía de auditores descontentos
Pero ¿por qué? ¿Cuál es el problema? Bien, el problema es que hay muchas posibilidades sensibles dentro de este T-Code. Las acciones realizadas dentro del SU01 no están documentadas. No es necesario dar explicación alguna o que alguien lo preapruebe para poder crear una nueva cuenta de usuario en el sistema de producción mediante SU01. No tienes que explicar nada a nadie si quieres desbloquear una cuenta de usuario inactiva a través del SU01. La mayoría de las organizaciones implementan estos procedimientos en papel, pero no es lo suficientemente fiable; para que se cumplan los procedimientos no puedes contar solo con la suerte, necesitas un control compensatorio. Es más que comprensible las molestias que supone para el administrador del sistema gestionar el papeleo cada vez que se abre una nueva cuenta o lo que supone para el equipo de asistencia técnica tener que llevar un registro de llamadas que proporcione evidencias de los usuarios que han pedido que los desbloqueen. Da dolor de cabeza solo el pensarlo.
Sea inteligente. Tome el camino seguro: sustituya el SU01 por un portal.
En vez de usar el problemático T-Code SU01, utilice un portal donde el usuario pueda acceder a las tareas más comunes. Luego, elimine el acceso de casi todo el mundo al SU01. Respire tranquilo, pues ya no tendrá que preocuparse de un importante riesgo.
Primero implemente las tareas más utilizadas:
- Creación de usuarios: Establezca un flujo de trabajo preconfigurado que comience con la solicitud de RR. HH. (o un evento del sistema de RR. HH. al contratar un nuevo empleado), continúe con la aprobación de un responsable de seguridad y termine con la creación automática del usuario. El último paso es enviar un correo electrónico para que los interesados estén al tanto de que se ha creado un usuario.
¿Cuáles son los beneficios? No hay trabajo manual, no hay opción de abusar del proceso y crear usuarios falsos, no debe preocuparse por que haya licencias desatendidas, y lo más importante, tendrá un flujo de trabajo documentado y seguro que los auditores podrán inspeccionar fácilmente.
- Desbloqueo de usuarios: Cree una pantalla de autosolicitud para que el usuario la cumplimente. Después configure el sistema para que haga verificaciones lógicas, como examinar la actividad reciente y el acceso desde las direcciones IP permitidas, y ¡eureka!, el usuario queda desbloqueado.
¿Las ventajas? Un 70 % menos de molestias para el equipo de asistencia técnica, un proceso seguro con comprobaciones lógicas incorporadas y un procedimiento bien documentado y fácilmente auditable.
Ah, sí, al fin: una alternativa a las trampas del SAP T-Code SU01. Qué maravilla. Pero ¿cómo puede conseguir implementar estos flujos de trabajo? No se preocupe: podemos ayudarlo.
