SAP Solution Manager®(Solman) es un sistema central para gestionar y controlar el resto de los sistemas SAP® de la empresa, como la configuración principal, los transportes (ChaRM), y también la seguridad.
En el sistema Solman, hay muchas herramientas para comprobar la seguridad, sin embargo, las más importantes son:
- System Recommendations
- Configuration Validation
- Early Watch
- Servicios de auto optimización
System Recommendations
El segundo martes de cada mes, SAP® publica una lista de nuevas Notas (SAP® Security Path Day) con su prioridad y CVSS (Common Vulnerability Scoring System), y es posible abrir el portal SAP® desde esta página y ver todas las notas disponibles para los diferentes sistemas de la organización. Sin embargo, para comprobar el estado de todas estas notas, es necesario acceder a los diferentes entornos de los sistemas para verlo.
System recommendation, al tratarse de un sistema central, nos permite comprobar el estado de todas las notas en todos los sistemas de la organización sin necesidad de acceder a cada uno de ellos. Esta herramienta tiene diferentes opciones disponibles como:
- Una vista panorámica de todos los sistemas y las notas que le afectan: Notas de Seguridad, Hot News (notas de seguridad con Prioridad Muy Alta), Notas de Rendimiento, Notas de Cambios Legales o Notas de Auditoría de Licencias.
- Filtrado de las notas con diferentes opciones, como por sistema, por tipo de nota, por Estado de Procesamiento, por prioridad, etc.
- Prerrequisitos de las notas, para comprobar si hay que realizar alguna acción antes de implementarla.
- Análisis del impacto de las notas.
- Notas de transporte.
- Áreas afectadas si se implementa la nota.
- Y algunas más…
En la lista de notas, también se puede cambiar el estado de procesamiento, o crear un nuevo estado.Todo esto puede ser hecho por el propio usuario, por lo que es más fácil tener un buen mantenimiento de las notas.
En resumen, System recommendations es una herramienta muy útil para gestionar las notas y comprobar su estado para, de un simple vistazo, saber si se pueden implementar o no.
Configuration Validation
Esta herramienta permite comparar la configuración y los parámetros de Seguridad de los diferentes sistemas de una Organización con un sistema de Buenas Prácticas.
Este sistema de buenas prácticas se conoce como Golden Client o Target system y puede configurarse como la empresa desee. Por ejemplo, el parámetro de la longitud de la contraseña se puede configurar en el target system con 10 caracteres, y la herramienta comparará este parámetro en todos los sistemas que la organización quiera e indicará si es menor, mayor o igual. Lo mismo pasa con todos los parámetros y configuraciones de seguridad.
Para facilitar la configuración del Golden Client, los parámetros y las configuraciones de seguridad están incluidas en pequeños almacenes, por lo que sólo es posible comparar uno o algunos almacenes, pero no todos ellos. Por supuesto, es posible crear diferentes Golden clients con diferentes almacenes incluidos en él.
Los informes que dan esta información se pueden ejecutar cuando el usuario quiera o de forma periódica.
Early Watch
Este informe proporciona información sobre los parámetros de seguridad y configuración de los sistemas de una organización.
Al tratarse de un informe muy similar al de Configuration Validation, en Early Watch no es necesario configurar un Golden Client, ya que se trata de un informe que facilita la información sobre el estado y los valores de la configuración y los parámetros de Seguridad, pero también sobre el rendimiento y la estabilidad de los sistemas.
Este informe también da explicaciones de varios puntos y en algunos casos también recomendaciones, como por ejemplo la longitud de la contraseña. En la Nota «2425024 – Alerta de Vigilancia Temprana: Ejemplos de Informes» hay ejemplos del informe de Vigilancia Temprana para diferentes sistemas.
Security Optimizations Service
Este informe de seguridad está relacionado con las autorizaciones de los usuarios, parámetros de seguridad y revisiones de seguridad.
Esta herramienta permite configurar un conjunto de reglas para después ejecutar un análisis, pudiendo descubrir qué usuarios tienen las mismas autorizaciones como las que hay en el Conjunto de Reglas que hemos establecido. Es una herramienta muy útil para configurar, por ejemplo, las acciones Críticas de TI, y comprobar qué usuarios las tienen.
Por supuesto, no es un Análisis de Riesgos como el que nos brinda la herramienta GRC, pero es una manera fácil de comprobar en un sistema central los usuarios que tienen autorizaciones críticas en todos los sistemas de la organización.
En resumen, Solution Manager es un sistema central con muchas funcionalidades y herramientas que pueden ayudar a garantizar la seguridad y la configuración de los sistemas de las organizaciones.
Las principales herramientas de seguridad nos permiten comprobar y revisar el estado de las notas, todos los parámetros de seguridad, tener informes sobre la configuración o ejecutar análisis de riesgos.
