En , // // 5 comentarios

Riesgos de Seguridad: SE16 y SM30

Se16 y los riesgos SAP

Consulta:

"¿Qué problema tiene que los funcionales tengan acceso a la transacción SE16?"

Antes de responder a la consulta, tenemos que aclarar conceptos sobre la SE16 y otras transacciones relacionadas.

Transacción SAP: SE16

Básicamente es una transacción para mostrar información de una tabla determinada. Cuando es "se16" es una transacción normal. A diferencia de cuando se habla de la transacción "SE16N" que se denomina transacción enjoy, ya que permite tener mayor personalización en cuanto a la interfaz de usuario.


Transacción SAP: SM30

Si bien, al igual que la SE16 (o SE16N) la SM30 permite acceder a la información de tablas, sólo podrá acceder a tablas con "actualización de diálogo", lo que en inglés se denomina: "tables with a maintaince dialog defined". Para explicarlo en forma práctica, si intentamos ingresar a una tabla cualquiera a través de la SM30, obtendremos el error SAP SV037: "Diálogo actualización p.XXXXXX está incompleto o no se ha definido". Tip: la trx. SE54 es la encargada de generar diálogos de actualización en tablas.

Es una transacción crítica, porque tiene muchísimas más atribuciones (si el usuario cuenta con acceso total) en comparación con la transacción SE16/N. Se recomienda deshabilitar el acceso a cualquier usuario.





Seguridad SAP

Para limitar éstas transacciones, se recomienda usar el objeto de seguridad "S_TABU_DIS"
Aquí, es importante considerar la vista: "V_DDAT_54" que tiene la asignación de grupos de autorización para tablas estandar del mandante.

Bajo ningún punto de vista deben tener acceso a la actividad "02" (modificar).
También revisar el objeto: "S_TABU_CLI", "S_TABU_LIN" y tener en cuenta "S_DEVELOP"

Hay mucho debate entre los gurúes de seguridad SAP sobre dar o no acceso a las transacciones para visualizar tablas. Sí, todos concuerdan en que la transacción SM30 no debe estar disponible para usuarios finales.

En nuestra investigación hemos leído administradores de seguridad SAP afirmar que aquellos que le quitan acceso a los usuarios a la SE16, es porque tienen un básico (o deficiente) nivel de gestión de seguridad SAP en sus organizaciones. Y por ello recomiendan quitar el acceso, al tener temor de que algún usuario (avanzado) encuentre la forma de manipular los datos de las tablas.

Por otro lado, otros administradores de seguridad SAP afirman que si la gestión de seguridad es eficiente, no hay nada que temer, y los usuarios pueden tener acceso a la SE16 dentro de una empresa, sin problemas.

Si eliminamos acceso a SE16/N; ¿cómo dar acceso a una tabla determinada?

A través de la transacción SAP se93, podemos crear una nueva transacción (opción: "transacción con parámetros") por ejemplo: SE16V_BSEG

De ésta forma aquellos usuarios que tienen acceso a esta transacción, podrán visualizar solo los datos de la tabla BSEG. Para ésto, en la transacción SE93, hacemos clic en las opciones "omitir imagen inicial", "Heredar propiedades GUI", y en nombre campo dynpro ponemos: "DATABROWSE-TABLENAME" y en valor: "BSEG". Con esto, guardamos la nueva transacción, y estaremos creando una transacción que permite acceder vía SE16 a la tabla determinada.

Otras cuestiones de seguridad

SAP_EDIT

¿Qué hay del famosos "&SAP_EDIT"?
Para evitar justamente las situaciones de viveza de aquellos usuarios SAP (que nunca se cansan de investigar), es que la mayoría de los administradores de seguridad que conozco le quitan el acceso a la SE16/N a todos sus usuarios. La transacción "&SAP_EDIT" debe ser usada con la mayor cautela posible, ya que si el usuario tiene autorizaciones, podrá modificar, borrar, o bien agregar datos a una tabla si así lo deseara. En este artículo no se ampliará este concepto, habrá más información sobre el mismo en manuales oficiales que brinda SAP para modificar tablas a través de las transacciones que citamos aquí. 

El "SAP_EDIT" funciona únicamente si los roles y perfiles lo permiten.

Si seguimos profundizando sobre seguridad, llegaremos al debate que tienen en todo SAP (ver SCN), hay gente que defiende la se16 como algo inofensivo, y otros consultores de seguridad indican que ésta transacción debe ser quitada para todos los consultores funcionales.

¿Usted qué piensa?

5 comentarios:

  1. Elmi Ron26 de diciembre de 2017, 9:40 p.m.

    Excelente aporte...

    ResponderBorrar
  2. César24 de agosto de 2018, 7:00 a.m.

    SE16 para usuarios avanzados y en entornos con partes a medida, para mí es aconsejable.
    SE16N y SM30, jamás bajo ningún concepto.

    El único problema con SE16 es que el usuario tenga claro que no es un report como tal, no se cruzan datos y si va a mirar un dato concreto ha de tener muy claro cómo se está guardando el dato, si figura en más sitios, si depende de otros, etc.

    ResponderBorrar
  3. Unknown12 de septiembre de 2018, 9:59 a.m.

    Considero que la SE16 si puede estar asignada a los usuarios que la requieren dando acceso solo a las tablas que tienen información relacionada con las funciones del usuario, usaría el objeto S_TABU_NAM.

    ResponderBorrar
  4. HRAMOS11 de mayo de 2021, 2:44 p.m.

    Soy usuario pero restringieron el acceso y no puedo acceder a las tablas, hay alguna Trx de consulta similar?

    ResponderBorrar
    Respuestas
    1. Wall11 de mayo de 2021, 3:12 p.m.

      Tienes que contactar con tu jefe, para que te brinden acceso, o bien solicitar un QUERY, un reporte a medida.

      Borrar

Nota Importante: los comentarios son para agradecer, comentar o sugerir cambios (o hacer preguntas) sobre el artículo de arriba.


SAP y el logotipo de SAP son marcas comerciales registradas de SAP AG en Alemania y en varios otros países. No estamos afiliados ni relacionados con ninguna división o subsidiaria de SAP AG.

Designed By Blogtipsntricks.

© 2008 - 2024 Consultoría SAP por SidV