Dziś chcielibyśmy zwrócić uwagę na bardzo ważne zagadnienie w obszarze bezpieczeństwa autoryzacji SAP. Oprócz jednorazowych projektów reorganizacji ról i SOD kwestie takie jak utrzymywanie wypracowanej na projekcie koncepcji uprawnień i porządku administracyjno-procesowego w rolach jest równie ważne. Jak zapobiegać „rozjazdom” naszych założeń po projektowych i uniknąć bałaganu w rolach? Jednym z rozwiązań jest wprowadzenie cyklicznych kontrol. Zapewnią one nam nie tylko komfort psychiczny, ale również odpowiednie przygotowanie przed wizytą audytu zewnętrznego.
Nasze najlepsze praktyki z zakresu kontrol cyklicznych opierają się na trzech głównych fundamentach:
Przede wszystkim cyrkularna świadomość i nieustanne poszerzanie wiedzy z zakresu bezpieczeństwa we wszystkich komórkach struktury organizacyjnej w przedsiębiorstwie. Każdy użytkownik SAP – enduser, keyuser, programista ABAP, konsultant modułowy, zespół Basis czy dyrektorzy operacyjni - musi zrozumieć, że bezpieczeństwo to nie jednorazowy projekt, a stan (umysłu) ciągły.
Im częściej, tym lepiej. Jednak na początku naszego weryfikacyjnego przedsięwzięcia warto kontrole cykliczne przeprowadzać raz na pół roku. Z odpowiednimi narzędziami taka weryfikacja będzie prosta i oszczędzająca czas wszystkich uczestników. W przypadku gdy niemożliwe jest przeprowadzanie weryfikacji raz na pół roku, powinniśmy zrobić wszystko, co w naszej mocy, aby jedna duża weryfikacja z udziałem całej organizacji została wykonana raz w roku. Jest to absolutne minimum.
Każda organizacja może weryfikować dowolny element obszaru bezpieczeństwa SAP. Poniżej kilka standardowych zagadnień, które warto „wziąć pod lupę”:
Jak już wspominałam, nasz zespół korzysta z rozwiązań narzędzi z grupy GRC SAST Suite. Oto kilka przykładów jak narzędzie SAST wspiera program cyklicznych kontroli:
Aby dobrze zaplanować weryfikacje cykliczne, po pierwsze należy zakomunikować otwarcie w organizacji planowane przez nas działania weryfikacyjne. Proponujemy to zrobić za pomocą przyciągających oko plakatów w siedzibach firmy lub grafiki wstawione na intranecie, do którego mają dostęp wszyscy pracownicy, którzy będą brani pod uwagę w weryfikacji.
Warto ustawić w kalendarzu tzw. „Blockera” na cały okres planowanej weryfikacji. Takie zarezerwowanie z wyprzedzeniem (nawet półrocznym) slotów czasowych pomoże nam uniknąć spychania tematu na dalszy plan. Jako że codziennej pracy operacyjnej często jest bardzo dużo, istnieje niebezpieczeństwo zmniejszania priorytetu naszego zadania weryfikacyjnego na rzecz wsparcia bieżącego. Konsekwencją będzie wieczne przesuwanie w czasie wykonania kontroli cyklicznej.
Jeśli zainteresował Państwa temat kontroli cyklicznych i chcieliby Państwo porozmawiać z naszym zespołem SAP Security na ten temat, zapraszamy do kontaktu. Z chęcią wesprzemy Państwa w przeprowadzeniu cyklicznych weryfikacji czy doradzeniu w przygotowywaniu strategii działania oraz przeszkolenia zespołów wewnętrznych.
Polecamy zapoznanie się jeszcze z innymi naszymi artykułami o podobnej tematyce: