Wydawać by się mogło, że – na pewno - każdy administrator systemu, jak również – co najmniej - użytkownicy reprezentujący top management doskonale zdają sobie sprawę, jakie uprawnienia dostępowe do systemu posiada każdy z nich.
NIC BARDZIEJ MYLNEGO!
Praktyka w zakresie wykonywania audytów systemu SAP pokazała, że tak nie jest.
Często zdarza się, że nadawane uprawnienia dla użytkownika SAP są zbyt obszerne. Nawet jeśli mają świadomość zakresu swoich uprawnień, to już w przypadku zagrożenia jakie może się wiązać z ich posiadaniem – tej świadomości brakuje.
Administratorzy z kolei nie mając możliwości monitorowania zagrożeń, nie posiadając dokumentacji działań krytycznych, nie mają też szansy na przedsięwzięcie środków zaradczych.
Myślę, że najbardziej jaskrawym przykładem (szczególnie dla osób pełniących funkcje zarządcze w obszarze finansów, np. dla dyrektorów finansowych) będzie sytuacja kiedy użytkownik (niech to będzie konsultant) posiada konto pozwalające mu na tworzenie i modyfikację dokumentów finansowych.
Czy takie uprawnienia są temu użytkownikowi potrzebne?
Dyrektor Finansowy powie – Niemożliwe! A jednak! Takie sytuacje mają miejsce bardzo często, i tak naprawdę są pułapką dla osoby je posiadającej, ponieważ zwiększają ryzyko omyłkowej ingerencji (nie zakładam celowego działania) w dokumenty, do których posiadają dostęp, a użytkownikom z działu finansowego przysparzają dodatkowej – niepotrzebnej – pracy związanej z korygowaniem tych działań.
Tym razem niech to będzie administrator modułu SAP BASIS. Bardzo częstym zjawiskiem jest posiadanie przez użytkowników tego typu następujących uprawnień:
Łatwo się domyślić, że użytkownik z takimi uprawnieniami posiada również dostęp i możliwość modyfikacji danych w Księdze Głównej.
Co to oznacza?
Może dokonać zmian w planie kont, a dalej - wszystkich zdarzeniach biznesowych istotnych dla firmy/organizacji.
Czy administrator potrzebuje takich uprawnień? Odpowiedź brzmi – NIE.
Dlaczego?
Ponieważ taki wachlarz uprawnień u danej osoby (użytkownika) stwarza realne zagrożenie dla bezpieczeństwa systemu.
Reasumując: mój kolega, który jest absolutnie najlepszym administratorem systemu SAP, jakiego znam, mawia:
„Użytkownik produkcji posiadający klucz developerski jest Bogiem”.
I zdecydowanie wie, co mówi. Osoba posiadająca taki klucz/uprawnienie może dokonać wszelkich zmian na systemie produkcyjnym.
Przykład: może napisać program kasujący, modyfikujący, itd.
Pomyśl – niemożliwe, żeby takie sytuacje się zdarzały!
Uwierz na słowo – sytuacje z niewłaściwie przypisanymi uprawnieniami zdarzają się bardzo często!
Jeśli zarządzanie i kontrola uprawnień stanowią dla Ciebie wyzwanie napisz do nas!
WARTO PRZECZYTAĆ RÓWNIEŻ INNE ARTYKUŁY DOTYCZĄCE UPRAWNIEŃ SAP: