INSTRUCTIVO PARA ASEGURAMIENTO DE OBJETOS

CDIGO: 1

VERSIN:

1.
OBJETO...........................................................................................................................................2
1.1.
ASEGURAMIENTO DE PROGRAMAS.................................................................................2
1.1.1.
CONSIDERACIONES EN LA ADICIN DE SENTENCIAS DE CHEQUEO DE
AUTORIZACIN A PROGRAMAS.......................................................................................................2
1.2.
ASEGURAMIENTO DE TABLAS............................................................................................3
1.2.1.
TABLAS EXISTENTES EN SAP.........................................................................................3
1.2.2.
TABLAS NUEVAS Z
...................................................................................................4
1.2.3.
CONSIDERACIONES EN LA ASIGNACIN DE GRUPOS DE AUTORIZACIN A
TABLAS Y PROGRAMAS......................................................................................................................4
1.3.
ASEGURAMIENTO DE SCAT.................................................................................................4
1.3.1.
AUTORIZACIONES RELACIONADAS CON SCAT POR TIPO DE USUARIO PARA
OBJETO S_DEVELOP:.........................................................................................................................5
1.4.
ASEGURAMIENTO DE QUERIES.........................................................................................6
2. NOMENCLATURA PARA EL ASEGURAMIENTO DE OBJETOS DESARROLLADOS.....7
2.1.
GRUPOS DE AUTORIZACIN PARA TABLAS (4 CARACTERES).................................7
2.2.
GRUPOS DE AUTORIZACIN PARA PROGRAMAS (8 CARACTERES)......................8
2.3.
TRANSACCIONES Z (12 CARACTERES)...........................................................................9
2.4.
NOMENCLATURA PARA PROGRAMAS............................................................................12
2.5.
ORDENES DE TRASPORTE................................................................................................14
2.6.
NOMBRAMIENTO DE TRANSACCIONES........................................................................14
2.6.1. TRANSACCIONES QUERIES..............................................................................................14
2.7.
NOMBRAMIENTO DE FORMATOS DE DOCUMENTACIN.........................................15

Pgina 1 de 15

1. OBJETO
Definir las consideraciones para el manejo de nuevos desarrollos en el sistema
aplicativo SAP.

1.1.

ASEGURAMIENTO DE PROGRAMAS

A continuacin se presentan las consideraciones bsicas para el aseguramiento de

programas:

Restringir el acceso a las transacciones SA38, SE38

Todos los nuevos programas desarrollados deben iniciar con Y para pruebas o Z

Para todo nuevo programa se deber documentar si es crtico o no.

Para todos los programas existen dos requerimientos de seguridad: asignacin a

grupos de autorizacin y la inclusin de cdigo para la verificacin de chequeos de
autorizacin.

Restringir los objetos de autorizacin S_DEVELOP y S_PROGRAM, los cuales

brindan acceso a la modificacin de y ejecucin de programas, respectivamente.
Para el aseguramiento de estos objetos, se debe tener en cuenta:
o

Para el objeto de autorizacin S_DEVELOP:

No debe tener configurados accesos de modificacin, es decir,

valores 01 o 02, en el campo Actividad.

Debe tener configurado un grupo de autorizacin especfico, no

deben tener valor *

Para el objeto S_PROGRAM:

Debe tener configurado un grupo de autorizacin especfico, no

deben tener valor *

1.1.1.
CONSIDERACIONES EN LA ADICIN DE SENTENCIAS DE
CHEQUEO DE AUTORIZACIN A PROGRAMAS

Evaluar la necesidad de crear nuevos objetos de autorizacin o de utilizar objetos

ya existentes. (Ver estndar de nomenclatura).

Los desarrolladores deben trabajar, en caso de ser necesario, con el consultor

interno funcional para definir los objetos de autorizacin que debe validar el nuevo
programa.
Esta definicin depender de la funcin del programa y del
requerimiento de restriccin de la informacin.

Identificar los valores necesarios para ejecutar el programa y parametrizar las

verificaciones de autorizacin apropiadas en el programa asociado.

Identificar el grupo de actividad que deber incluir el acceso a ejecutar dicho

programa.

El Administrador de Grupos de Actividad desarrollar o modificar el grupo de

actividad para habilitar a los usuarios que ejecutarn el programa.

Pgina 2 de 15

IMPORTANTE: Todos los programas debern estar sujetos a una revisin en conjunto,
para verificar que la seguridad del programa se haya parametrizado apropiadamente
antes de migrar a pruebas o produccin.

1.2.

ASEGURAMIENTO DE TABLAS

A continuacin se presentan las consideraciones bsicas para el aseguramiento de

tablas:

Habilitar la visualizacin y mantener (modificar, borrar, adicionar) la informacin a

nivel de tabla, debe ser administrado cuidadosamente y otorgado de forma
excepcional.

El equipo Desarrollador ser el responsable por la creacin y mantenimiento de la

definicin de todas las tablas.

Las transacciones visualizacin de tablas SE17 y modificacin de datos en tablas

SE16, SM30 y SM31, no se asignarn a ningn usuario final en ambiente
productivo.

Si se requiere acceso a actualizacin o visualizacin de tablas de manera

constante o recurrente, se deber asignar a una transaccin especfica que cumpla
con los requerimientos de seguridad definidos para las transacciones nuevas.
Dicha transaccin deber asignarse de forma restringida, utilizando adems grupos
de autorizacin y logs si son requeridos, dependiendo de la criticidad de la
informacin.

1.2.1.

TABLAS EXISTENTES EN SAP

Se deben asignar grupos de autorizacin a las tablas que se consideren crticas por
recomendaciones de auditora o por criterio del consultor interno funcional.

El acceso a visualizar ser otorgado con base en la parametrizacin y

requerimientos funcionales.

El acceso de control de tabla a los grupos de autorizacin y todo acceso a tablas

ser otorgado en forma explcita basado en grupos de autorizacin utilizando el
objeto de autorizacin S_TABU_DIS y S_TABU_CLI, los cuales brindan acceso a la
modificacin de tablas mandante dependientes y tablas mandante independientes,
respectivamente. Para el aseguramiento de estos objetos, se debe tener en
cuenta:
o

No deben tener configurados accesos de modificacin, es decir, valores 01

o 02, en el campo Actividad.

Si la tabla es crtica el objeto de autorizacin S_TABU_DIS en el campo

DICBER (Grupo de autorizaciones) deben tener configurado un grupo de
autorizacin especfico, no debe tener valor * ni &NC&.

No se podr actualizar tablas estndar de forma directa haciendo uso de

transacciones como SM30 SE16.

Pgina 3 de 15

1.2.2.

TABLAS NUEVAS Z

Las tablas nuevas deben seguir los siguientes requisitos:

Debe iniciarse con Z y su nombre se alinea al cdigo RICEF que se defina

Se debe definir si la tabla es crtica o no.

No deben haber tablas con grupo de autorizacin &NC&.

Todas las tablas nuevas deben ser aseguradas por medio de la asignacin de un
grupo de autorizacin. En el campo CCLASS de la tabla TDDAT se visualizan
valores de grupos de autorizacin especficos para cada tabla, proyecto o del
mdulo o rea de negocio. Una tabla que no tiene un grupo de autorizacin
asignado, puede ser modificada por usuarios no autorizados.

El administrador de grupos de actividad de SAP deber ser notificado cuando se

aseguran nuevas tablas en SAP.

1.2.3.
CONSIDERACIONES EN LA ASIGNACIN DE GRUPOS DE
AUTORIZACIN A TABLAS Y PROGRAMAS

Todos los programas y tablas deben tener definida su criticidad en trminos de

confidencialidad e integridad de la informacin.

Si el programa o tabla es crtico se deben seguir los siguientes pasos:

a. Identificar el grupo de personas, rea o la temtica relacionada con el
programa o la tabla.
b. Determinar si hay un grupo de autorizacin existente que rena el criterio
identificado anteriormente. Si no, se debe crear el nuevo grupo de
autorizacin.
c.

Asociar el grupo de autorizacin a la tabla o programa.

d. Crear y liberar la solicitud de transporte y migrar el cambio de programa o

tabla a travs de todo el sistema.
e. El Consultor interno funcional CCSAP deber identificar el rol que tendr
autorizacin para ejecutar el programa o la tabla.

1.3.

ASEGURAMIENTO DE SCAT

Los SCAT nuevos deben seguir los siguientes requisitos:

Su creacin estar restringida nicamente a los consultores internos

funcionales

A los usuarios funcionales finales que requieran ejecutar un SCAT se les

asignar el nombre especfico del SCAT a utilizar en un rol con la autorizacin
S_DEVELOP.

Pgina 4 de 15

El rol asignado a usuario final deber tener una vigencia definida.

Para diferenciar la administracin de la ejecucin de los SCAT se deber

configurar autorizaciones necesarias en el objeto de autorizacin S_DEVELOP
as:

1.3.1.
AUTORIZACIONES RELACIONADAS CON SCAT POR TIPO
DE USUARIO PARA OBJETO S_DEVELOP:

Campos

ACTVT

Usuario

Usuario
Final

OBJNAME y

OBJTYPE

P_GROUP

SCAT

Z*

DEVCLASS

Funcional

Todas

Z<Modulo>*
Ejemplo: ZGL_*
Donde <Modulo> corresponde a uno
de los siguientes valores:
GL_: Programas relacionados con
General Ledger
AP_: Programas relacionados con
Cuentas por Pagar
AR_: Programas relacionados con
cuentas por cobrar
AM_: Programas relacionados con
el sub-mdulo activos fijos.
BL_: Programas relacionados con
Libro de Bancos
FM_: Programas relacionados con
Administracin
de
Fondos
y
presupuesto
CS_: Programas relacionados con
Consolidacin
CR_: Programas relacionados con
Administracin de crdito
CL_: Programas relacionados con
Collections & Dispute Management
TR_: Programas relacionados con
Treasury and Risk Management
CO_: Programas relacionados con
el sub mdulo de Costos
WF_: Programas relacionados con
el mdulo de workflow
LO_: Programas relacionados con el
mdulo logstica general.
MM_: Programas relacionados con
el mdulo de gestin de materiales.
SD_: Programas relacionados con el
mdulo de Ventas y Distribucin
PP_: Programas relacionados con el
mdulo planeacin y control de
produccin.
PM_: Programas relacionados con el
mdulo de mantenimiento de planta.

Pgina 5 de 15

Campos

ACTVT

Usuario

OBJNAME y

OBJTYPE

P_GROUP

SCAT

Z*

DEVCLASS

CS_: Programas relacionados con el

mdulo de Servicio al cliente
QM_: Programas relacionados con
el mdulo de gestin de calidad
LE_: Programas relacionados con el
mdulo de Ejecucin logstica
CR_: Programas relacionados con
CRM
SC_: Programas relacionados con
SCM
NP_: Programas relacionados con
NPDI
BI_: Programas relacionados con la
solucin de inteligencia de Negocios
BC_: Programas relacionados con el
mdulo Basis.
Usuario Analista

1.4.

12

Por solicitud.

ASEGURAMIENTO DE QUERIES

Los queries nuevos deben seguir los siguientes requisitos:

Su creacin estar restringida nicamente a los consultores internos

funcionales.

Todo query se debe asignar a una transaccin Z de acuerdo con la

nomenclatura definida.

El consultor interno funcional deber asignar el nuevo cdigo de transaccin al

rol que lo requiera.

Nota: Remitirse a instructivo de cmo crear queries: INS_Seguridad Querys

2. NOMENCLATURA PARA
DESARROLLADOS
2.1.

EL

ASEGURAMIENTO

DE

OBJETOS

GRUPOS DE AUTORIZACIN PARA TABLAS (4 CARACTERES)

Cada tabla hecha Z debe estar asociada a un grupo de autorizacin conformado
por 4 caracteres de forma tal que permita restringir su acceso.
La definicin de grupos de autorizacin debe permitir diferenciar los grupos de
tablas crticas de aquellas que no lo son.
El grupo de autorizacin asignado a la tabla debe seguir la siguiente nomenclatura:

Pgina 6 de 15

Nmero de
caracteres

Posicin

Valor

Descripcin

Carcter

Diferencia el grupo de autorizacin definido

por el NUTRESA de los estndar definidos Fijo
por SAP

Tipo Tabla

Fijo

Identifica el mdulo del sistema al cual se

asocia la tabla, reemplazar X por alguno de
los siguientes valores segn corresponda:
AF: Tablas relacionadas con el mdulo de
activos fijos.
BS: Tablas relacionadas con Basis
CO: Tablas relacionadas con el mdulo de
costos y CATS
FI: Tablas relacionadas con finanzas
BI: Tablas relacionadas con BI
PM: Tablas relacionadas con el mdulo de
mantenimiento.
LO: Tablas relacionadas con el mdulo LO
y SCM
MM: Tablas relacionadas con el mdulo de
materiales.
NP: Tablas relacionadas con el NPDI
QM: Tablas relacionadas con el mdulo de
Calidad
CR: Tablas relacionadas con el mdulo
servicio al cliente
PS: Tablas relacionadas con el mdulo de
presupuesto y Administracin de Fondos
AR: Tablas relacionadas con el mdulo
tesorera.
SD: Tablas relacionadas con el mdulo de
ventas y servicios.
W: Tablas relacionadas con el mdulo
Workflow
WM: Tablas del modo de almacenamiento
(WM)

3-4

WY

2.2.

GRUPOS DE
CARACTERES)

Identifica el grupo relacionado con la tabla.

AUTORIZACIN

PARA

Segn
Mdulo

Libre

PROGRAMAS

(8

Cada programa Z debe estar asociado a un grupo de autorizacin de forma tal que
permita restringir su acceso.
La definicin de grupos de autorizacin debe permitir diferenciar los grupos de
programas crticas de aquellos que no lo son.
El grupo de autorizacin asignado a la tabla debe seguir la siguiente nomenclatura:

Pgina 7 de 15

Nmero de
caracteres

Posicin
1

Valor
Z

Descripcin
Diferencia el grupo de autorizacin definido
por el Grupo GNCH de los estndar definidos
por SAP

Carcter
Fijo

Identifica el mdulo del sistema al cual se

asocia el programa, reemplazar XYZ por
alguno de los siguientes valores segn
corresponda:
GL_: Programas relacionados con General
Ledger
AP_: Programas relacionados con Cuentas
por Pagar
AR_: Programas relacionados con cuentas
por cobrar

2-4

XYZ

AM_: Programas relacionados con el submdulo activos fijos.

BL_: Programas relacionados con Libro de
Bancos
FM_:
Programas
relacionados
con
Administracin de Fondos y presupuesto
CS_:
Programas
relacionados
con
Consolidacin
CR_:
Programas
relacionados
con
Administracin de crdito
CL_: Programas relacionados con Collections
& Dispute Management
TR_: Programas relacionados con Treasury
and Risk Management
Variable
CO_: Programas relacionados con el sub
mdulo de Costos
WF_: Programas relacionados con el mdulo
de workflow
LO_: Programas relacionados con el mdulo
logstica general.
MM_: Programas relacionados con el mdulo
de gestin de materiales.
SD_: Programas relacionados con el mdulo
de Ventas y Distribucin
PP_: Programas relacionados con el mdulo
planeacin y control de produccin.
PM_: Programas relacionados con el mdulo
de mantenimiento de planta.
CS_: Programas relacionados con el mdulo
de Servicio al cliente
QM_: Programas relacionados con el mdulo
de gestin de calidad
LE_: Programas relacionados con el mdulo
de Ejecucin logstica
CR_: Programas relacionados con CRM
SC_: Programas relacionados con SCM
NP_: Programas relacionados con NPDI
BI_: Programas relacionados con la solucin
de inteligencia de Negocios
BC_: Programas relacionados con el mdulo

Pgina 8 de 15

Nmero de
caracteres

Posicin

Valor

Descripcin

Carcter

Basis.
Ntese que el caracter "_" hace parte de la
descripcin del mdulo.
5-8

2.3.

AD

Reemplazar los 4 caracteres por un

nemotcnico que identifique el grupo del
programa.

Libre

TRANSACCIONES Z (12 CARACTERES)

Toda tabla o programa Z que deba ser ejecutado por los usuarios del sistema
aplicativo SAP R/3, debe estar asociado a un cdigo de transaccin para
posteriormente incluirlo en los perfiles de acceso que los requieran.
La nomenclatura de los cdigos de transaccin Z debe seguir la siguiente
nomenclatura

Posicin

Nmero
de
caracteres

2-4

XYZ

Valor

Descripcin
Diferencia los cdigos de transacciones definidos
por el Grupo GNCH de los estndar definidos por
SAP

Carcter

Fijo

Identifica el mdulo del sistema al cual se asocia la Variable

transaccin, reemplazar XYZ por alguno de los
siguientes valores segn corresponda:
GL_: Programas relacionados con General Ledger
AP_: Programas relacionados con Cuentas por
Pagar
AR_: Programas relacionados con cuentas por
cobrar
AM_: Programas relacionados con el sub-mdulo
activos fijos.
BL_: Programas relacionados con Libro de Bancos
FM_: Programas relacionados con Administracin
de Fondos y presupuesto
CS_: Programas relacionados con Consolidacin
CR_: Programas relacionados con Administracin
de crdito
CL_:Programas relacionados con Collections &
Dispute Management
TR_:Programas relacionados con Treasury and
Risk Management
CO_: Programas relacionados con el sub
mdulo de Costos
WF_: Programas relacionados con el mdulo de
workflow
LO_: Programas relacionados con el mdulo

Pgina 9 de 15

Posicin

Nmero
de
caracteres

Valor

Descripcin

Carcter

logstica general.
MM_: Programas relacionados con el mdulo de
gestin de materiales.
SD_: Programas relacionados con el mdulo de
Ventas y Distribucin
PP_: Programas relacionados con el mdulo
planeacin y control de produccin.
PM_: Programas relacionados con el mdulo de
mantenimiento de planta.
CS_: Programas relacionados con el mdulo de
Servicio al cliente
QM_: Programas relacionados con el mdulo de
gestin de calidad
LE_: Programas relacionados con el mdulo de
Ejecucin logstica
CR_: Programas relacionados con CRM
SC_: Programas relacionados con SCM
NP_: Programas relacionados con NPDI
BI_: Programas relacionados con la solucin de
inteligencia de Negocios
BC_: Programas relacionados con el mdulo
Basis.
Ntese que el caracter "_" hace parte de la
descripcin del mdulo.

5-8

PRC_

Identifica el proceso de negocio al cual se asocia

la transaccin, reemplazar PRC por alguno de los
siguientes valores segn corresponda:
Procesos de infraestructura:
CORPORATIVOS
CMB_: Planear y Administrar negocios
CMR_: Administrar capital y riesgo
CMP_: Administrar programas y proyectos
CDS_: Proveer soporte a la toma de decisiones
SOPORTE
SHR_: Administrar recursos Humanos
SIT_: Administrar tecnologa de la informacin
SPE_: Administrar planta,, equipos e instalaciones
SDC_: Administrar contabilidad y control de datos
SSS_: Administrar servicios de soporte
SAL_: Proveer y administrar asistencia legal
Procesos operativos:
POD_: Desarrollar nuevos productos y servicios
POK_: Mercadear productos y servicios
POS_: Vender productos y servicios
POO_: Administrar rdenes y pedidos
POP_:Abastecer materiales y servicios
POI_: Ciclo I Pecuario
POM_: manufacturar productos
POL_: Administrar logstica
POC_: Proveer soporte al cliente
Procesos Colaborativos:
CPC_: Comercializar productos
OMC_: Administrar pedidos

Pgina 10 de 15

Variable

Posicin

Nmero
de
caracteres

Valor

Descripcin

Carcter

SSC_: Ventas y soporte

VCC_: Colaboracin en la cadena de valor
9-12

A..D

Reemplazar los 4 caracteres por un nmero

Consecutivo
consecutivo de acuerdo con el orden utilizado que
por proceso
identifique a la transaccin.

Pgina 11 de 15

2.4.

NOMENCLATURA PARA PROGRAMAS

Los programas deben nombrarse tcnicamente bajo la siguiente estructura

ZTTMMSS####_#, dnde:
Z Sigla estndar para los desarrollos
TT Tipo de Objeto. Los ms utilizados son:
T Tabla
RP Reportes
MP tipo Modul Pool
FG Grupo de Funciones
CL Clase
FM Mdulo de Funcin
MD Mtodo
IF Interface
DM Dominio
DE Elemento de dato
VT Vista
MM Mdulo. Ejemplo: LO para Logstica
SS Submdulo. Ejemplo: MM para Manejo de Materiales
#### Cdigo asignado al desarrollo por Servicios Nutresa
# Si la especificacin da origen a un solo programa su valor es 1. Si son
varios ser incremental.
Ejemplo: ZRPLOMM1024_1
ZRPSD1323_1
ZFGLOMM1162

Pgina 12 de 15

PARA TENER ENCUENTA:

Al intentar crear un modulo de funciones con el nombre estndar que se ha
manejado en los desarrollos Z, SAP una vez se aplic el EHP6 SP8 puede
generar el siguiente mensaje:

Al dar en la ayuda de SAP se propone que despus del prefijo Z se incluya el

carcter " _ ".

Dado lo anterior, se sugiere que el estndar para la creacin de mdulos de

funcin Z quede definido de la siguiente manera:
Z_FMXX_YYYY_#
XX = Modulo SAP
YYYY = Cdigo de desarrollo (Ricef).
# = Consecutivo para mismo cdigo de desarrollo

Pgina 13 de 15

2.5.

ORDENES DE TRASPORTE

Los desarrollos al crear la OT deben nombrarse tcnicamente bajo la siguiente

estructura
FDS-MM-SS-#### XXXXXXXXXXXXXXXX, dnde:
FDS Sigla de la Fbrica de Software de dos dgitos
MM Mdulo
SS Submdulo. Ejemplo: MM para Manejo de Materiales
#### Cdigo asignado al desarrollo por Servicios Nutresa
XXXXXXXX Breve descripcin sobre el desarrollo al cual se refiere, si aplica
a un requerimiento o incidente debe incluir el nmero segn Contacto
Ejemplo: IT-NTSA-LO-SD-1073 Interfase SAP Operadores Logsticos
Al nombrar una Orden de Transporte esta debe llevar en la descripcin el
cdigo definido en el numeral anterior y una breve descripcin.

2.6.

NOMBRAMIENTO DE TRANSACCIONES.

Las transacciones deben nombrarse tcnicamente bajo la siguiente estructura

ZMM_MOP_####_#, dnde:
Z Sigla estndar para los desarrollos
MM Mdulo
MOP Proceso MOHP asociado en la especificacin funcional
#### Cdigo asignado al desarrollo por Servicios Nutresa
# Si la especificacin da origen a una sola transaccin su valor es 1. Si son
varios ser incremental
Ejemplo: ZFI_POO_1035_1

2.6.1.

TRANSACCIONES QUERIES

ZMM_QRY_####
Donde:
MM Mdulo. Ejemplo: LO para Logstica
QRY. Identificador para el Query debido a la necesidad de identificar el tipo de
objeto Query. Es un objeto especfico
#### Cdigo asignado al Query por Servicios Nutresa
La informacin adicional relacionada con los query se encuentra en el archivo
EST_Seguridad Querys

Pgina 14 de 15

2.7.

NOMBRAMIENTO DE FORMATOS DE DOCUMENTACIN

Los archivos a entregarse por cada desarrollo son los siguientes:

a. Manual de Usuario: Contiene la informacin detallada paso a paso para
que el usuario pueda ejecutar adecuadamente el desarrollo hasta obtener el
resultado esperado (Este debe tener un lenguaje sencillo y amigable para que
cualquier persona lo puede entender).

Se adjunta archivo con el formato

diligenciado con un ejemplo prctico. Adicional el nombre del archivo debe

tener el siguiente estndar:
Cdigo del desarrollo-MU-Descripcin corta del programa.
El cdigo del desarrollo esta conformado por:
2 siglas de la fbrica -NTSA-2 siglas del mdulo-2 siglas de submduloConsecutivo de 4 dgitos asignado por NTSA-Consecutivo de cantidad de
objetos explicado en los puntos 1 y 2.
b. Test de Ejecucin: Esta dividido en 2 bloques.

El primero ilustra los

diferentes escenarios de prueba para el desarrollo y deben ser acorde a los

escenarios definidos en la especificacin funcional, garantizando las pruebas
unitarias.

El segundo

bloque

contempla la prueba

programa realizado, buscando garantizar

una adecuada

de evaluacin del
codificacin y la

utilizacin de mejores prcticas de desarrollo segn los lineamientos

herramientas provistas por SAP. Se adjunta archivo con ejemplo

c. Especificacin

Tcnica:

Debe

complementarse

el

documento

de

especificacin entregado por Nutresa con todos los elementos tcnicos que
se codificaron en el desarrollo del programa.

Pgina 15 de 15