Weryfikacje cykliczne w obszarze autoryzacji SAP

Czas czytania: 3 minut
Bernadeta Szwarc

Dziś chcielibyśmy zwrócić uwagę na bardzo ważne zagadnienie w obszarze bezpieczeństwa autoryzacji SAP. Oprócz jednorazowych projektów reorganizacji ról i SOD kwestie takie jak utrzymywanie wypracowanej na projekcie koncepcji uprawnień i porządku administracyjno-procesowego w rolach jest równie ważne. Jak zapobiegać „rozjazdom” naszych założeń po projektowych i uniknąć bałaganu w rolach? Jednym z rozwiązań jest wprowadzenie cyklicznych kontrol. Zapewnią one nam nie tylko komfort psychiczny, ale również odpowiednie przygotowanie przed wizytą audytu zewnętrznego.

Najlepsze praktyki z zakresu kontrol cyklicznych

Nasze najlepsze praktyki z zakresu kontrol cyklicznych opierają się na trzech głównych fundamentach:

  1. Metodyka - Co weryfikujemy? Kto weryfikuje? Ile czasu na to możemy poświęcić? Jak weryfikujemy pod względem merytorycznym i organizacyjnym?
  2. Narzędzia - Jak weryfikujemy pod względem technicznym (raporty, elementy SAP)?
  3. Dokumentacja - Co dokumentujemy? Gdzie przechowujemy raporty i potwierdzenia? Kto ma dostęp do dokumentacji?

Korzyści kontrol cyklicznych

Przede wszystkim cyrkularna świadomość i nieustanne poszerzanie wiedzy z zakresu bezpieczeństwa we wszystkich komórkach struktury organizacyjnej w przedsiębiorstwie. Każdy użytkownik SAP – enduser, keyuser, programista ABAP, konsultant modułowy, zespół Basis czy dyrektorzy operacyjni - musi zrozumieć, że bezpieczeństwo to nie jednorazowy projekt, a stan (umysłu) ciągły.

Jak często należy wykonywać takie kontrole?

Im częściej, tym lepiej. Jednak na początku naszego weryfikacyjnego przedsięwzięcia warto kontrole cykliczne przeprowadzać raz na pół roku. Z odpowiednimi narzędziami taka weryfikacja będzie prosta i oszczędzająca czas wszystkich uczestników. W przypadku gdy niemożliwe jest przeprowadzanie weryfikacji raz na pół roku, powinniśmy zrobić wszystko, co w naszej mocy, aby jedna duża weryfikacja z udziałem całej organizacji została wykonana raz w roku. Jest to absolutne minimum.

O czym jeszcze warto pamiętać?

Każda organizacja może weryfikować dowolny element obszaru bezpieczeństwa SAP. Poniżej kilka standardowych zagadnień, które warto „wziąć pod lupę”:

  • Stan ról SAP – zawartość ról (PFCG) vs zgodność z Koncepcją Uprawnień (powinniśmy dysponować i aktualizować na bieżąco taki dokument)
  • Przypisanie profili SAP_ALL, SAP_NEW
  • Użytkownicy awaryjni (en. Emergency users) tak zwani FIREFIGHTERZY – kto ma możliwość korzystania? Czy w organizacji jest wyznaczona osoba odpowiedzialna za weryfikację wykonywanych działań na koncie użytkownika z rozszerzonymi uprawnieniami? Jakie działania są wykonywane przez danego FIREFIGHTERA (Sprawdzimy to na poziomie transakcji w SM20 lub z większymi szczegółami w narzędziu z grupy GRC np. SAST SUITE)
  • Stan przypisania ról do pracowników – Kierownicy danych działów powinni potwierdzić lub zanegować aktualność przypisanych ról na systemach SAP do konkretnych pracowników.
  • Konflikty SoD – Powinniśmy dokonać analizy porównania stanu od ostatniej weryfikacji ze stanem dzisiejszym. Czy potrzebne są nowe mitygacje? Czy pojawiły się nowe niebezpieczne konflikty zagrażające bezpieczeństwu przedsiębiorstwa?
  • Ważność kont SAP - Czy konta pracowników, którzy już nie pracują mają zablokowane konta (lub usuwane, w zależności od polityki danej organizacji)

Jak narzędzie SAST wspiera program cyklicznych kontroli?

Jak już wspominałam, nasz zespół korzysta z rozwiązań narzędzi z grupy GRC SAST Suite. Oto kilka przykładów jak narzędzie SAST wspiera program cyklicznych kontroli:

  1. Automatyzacja – narzędzie dysponuje silnikiem, które na bazie standardowej funkcjonalności SAP pozwala generować cykliczne raporty w tle i odkładać je na systemie, aby łatwo je pobrać i przekazać do kluczowych właścicieli obszarów.
  2. Różnorodność raportów – zawartość ról, przypisanie ról do aktywnych i nieaktywnych użytkowników, wykorzystywanie transakcji per użytkownik czy per rola (odpowiada na pytanie: czy potrzebujemy tylu transakcji w danej roli?) to tylko kilka z raportów dostępnych w narzędziach SAST.
  3. Dokumentacja – pozwala na tworzenie dokumentacji w postaci PDF bezpośrednio z systemu oraz na tworzenie mitygacji, tym samym system staje się głównym zasobem, na którym znajdują się mitygacje na konkretnych ryzykach.

Na zakończenie garść drobnych, acz przydatnych wskazówek organizacyjnych

Aby dobrze zaplanować weryfikacje cykliczne, po pierwsze należy zakomunikować otwarcie w organizacji planowane przez nas działania weryfikacyjne. Proponujemy to zrobić za pomocą przyciągających oko plakatów w siedzibach firmy lub grafiki wstawione na intranecie, do którego mają dostęp wszyscy pracownicy, którzy będą brani pod uwagę w weryfikacji.

Warto ustawić w kalendarzu tzw. „Blockera” na cały okres planowanej weryfikacji. Takie zarezerwowanie z wyprzedzeniem (nawet półrocznym) slotów czasowych pomoże nam uniknąć spychania tematu na dalszy plan. Jako że codziennej pracy operacyjnej często jest bardzo dużo, istnieje niebezpieczeństwo zmniejszania priorytetu naszego zadania weryfikacyjnego na rzecz wsparcia bieżącego. Konsekwencją będzie wieczne przesuwanie w czasie wykonania kontroli cyklicznej.

Służymy pomocą!

Jeśli zainteresował Państwa temat kontroli cyklicznych i chcieliby Państwo porozmawiać z naszym zespołem SAP Security na ten temat, zapraszamy do kontaktu. Z chęcią wesprzemy Państwa w przeprowadzeniu cyklicznych weryfikacji czy doradzeniu w przygotowywaniu strategii działania oraz przeszkolenia zespołów wewnętrznych.

Polecamy zapoznanie się jeszcze z innymi naszymi artykułami o podobnej tematyce:

Jeśli uważasz ten artykuł za wartościowy, podziel się nim proszę.
Pozwoli nam to dotrzeć do nowych osób. Z góry dziękujemy!

Zadbamy o cyfrową transformację Twojego biznesu

Chcesz zabezpieczyć swój biznes przed cyberatakami? A może planujesz cyfrową transformację lub poszukujesz specjalistów IT do projektu? Chętnie pomożemy. Jesteśmy tu dla Ciebie. Porozmawiajmy o profesjonalnych usługach IT dla Twojej firmy.
Skontaktuj się z nami
Darmowy e-book

Wszystko, co musisz wiedzieć
o migracji z SAP ERP na SAP S/4HANA

Nasz zespół ekspertów przygotował dla Ciebie
e-poradnik, dzięki któremu zrobisz to łatwo, bezboleśnie i bez szkody dla bezpieczeństwa
Twojej firmy.

To praktyczna wiedza podana w przystępnym
języku - zupełnie za darmo.
Pobierz darmowego e-booka
Dane adresowe
ul. Tęczowa 3 , 60-275 Poznań
NIP: 5213683072
REGON: 360098885
Odwiedź nasze social media:
Lukardi 2022. All Rights Reserved. 
Stworzone z
przez Uxtivity