FAKTUROR OCH FINANS
SÄKERHET
CIRKULATION OCH ARKIVERING AV DOKUMENT
E-COMMERCE
ANALYTIK
MARKNADSFÖRING
DIGITALISERING AV INNEHÅLLHur tar man hand om SAP-säkerheten i tre steg?
- Säkerhet
Låt oss redan från början skingra tvivlen - det finns inget säkert IT-system. Det kan finnas ett fel i vilket system som helst, och att försöka lösa det kan innebära ett fel på en annan nivå. Det finns också olika krav på systemets funktionalitet, som inte alltid sammanfaller. Arkitekten som utformar systemet har en annan syn på funktionalitet än programmeraren, och programmeraren har en annan syn än affärsanvändaren av systemet.
Det är därför säkerhetshantering är en kontinuerlig process, och att förbereda ett säkert system är inte en engångsaktivitet.
Hoten utgörs både av systemens tekniska aspekter (sårbarhet för intrång) och av systemets användare (för stora befogenheter ger möjlighet till mer eller mindre medvetet missbruk).
SAP-systemet - tack vare sin flexibilitet och sina många möjligheter - förändras i takt med att behoven förändras. Nya kundprogram som utökar standardfunktionerna är ett väl genomfört projekt som ofta innebär samarbete mellan flera användargrupper (programmerare, affärsanvändare, modulexperter). SAP-säkerhet är därför ett mycket komplext ämne.
Varje sådan användare har rättigheter (antingen förvärvade eller tillhandahållna genom specifika aktiviteter). Detta ger upphov till en mycket viktig fråga
Har dina användare SAP_ALL-rättigheter?
SAP_ALL-rättigheter ger användare möjlighet att göra nästan obegränsade ändringar i systemet, oavsett vilka systemmoduler som organisationen har. Sådana privilegier är å ena sidan en bekvämlighet och å andra sidan ett hot. Övervakar ni därför de åtgärder som dessa användare vidtar med så höga behörigheter? Kan du ange vilken användare som gjorde vilka ändringar och om de var relaterade till ett specifikt pågående projekt? Hur ser SAP-säkerheten ut i er organisation?.
Vilka risker är förknippade med ovanstående process?
1 - risk för maktmissbruk
2 - risker i samband med förändringar av systemstrukturer som ligger utanför de berörda avdelningarnas kontroll
3 - risk för att omedvetet missbruka sina befogenheter
4 - risk att inte klara en extern revision
Det är därför mycket viktigt att:
1 - att känna till dina användares befintliga rättigheter,
2 - inaktivera de behörigheter som ges i onödan (här handlar det, förutom om säkerhet, också om att ha användarlicenser som vi de facto inte behöver,
3 - ge SAP_ALL-behörighet endast till vissa användare, endast för vissa fall
4 - övervaka deras verksamhet som en del av sitt arbete.
Så hur organiserar man en optimal riskreduceringsprocess i tre steg?
Första - rensa bort onödiga SAP_ALL-behörigheter. Låt oss inte vara rädda för att säga att för många användarrättigheter är ett problem. Och problem måste lösas. Så låt oss ta bort SAP_ALL-behörigheter från alla (!) användare.
Till den andra - låt oss se till att vi bara tillhandahåller funktionalitet till användare vars aktiviteter inom organisationen faktiskt kräver denna typ av rättighet. För när allt kommer omkring kan vi inte helt och hållet avstå från dessa behörigheter.
Tredje - utse en revisor som ska godkänna tilldelningen av behörigheter och kontrollera de faktiska åtgärderna i systemet. Varje åtgärd som utförs inom ramen för de beviljade befogenheterna kommer att lämna spår. Det bör bedömas om ändringar verkligen var nödvändiga.
Den process som genomförs på detta sätt gör det möjligt att avsevärt minska riskerna, eftersom detta är kärnan i hanteringen av datasäkerhet i SAP-systemet, som många organisationers verksamhet, inte bara i Polen utan även i hela världen, ofta baseras på i sin helhet.
För en tydligare bild av ämnet skärmar bifogade av den nya processen för tillhandahållande av SAP_ALL-ersättningar.
Nedan visas mottagandet av ett positivt svar på användaren DSIKORSKIS begäran om SAP_ALL-rättigheter (nödanvändare). I popup-fönstret „Enter session token” angav användaren en unik token som gav honom/henne åtkomst till användaren PL_EMERG_1 med SAP_ALL-rättigheter
Nedan visas den rapport som revisorn för användaren PL_EMERG_1 får. Den visar alla detaljer om DSIKORSKIS åtgärder inom ramen för de befogenheter som han har fått. På grundval av detta verifierar revisorn giltigheten av de genomförda ändringarna.
Vill du veta mer om hur du kan minska riskerna och öka säkerheten i ditt SAP-system? Hör av dig till oss.
Mer från kategorin
- Säkerhet
Tomasz Jurgielewicz
Chef för säkerhetsavdelningen på Lukardi. Han har lett ett team av SAP Security-specialister i 10 år och tillhandahåller omfattande tjänster och verktyg för att säkra SAP-system och optimera licenser. Erfarenhet inom följande områden: - identifiering av behörighetskonflikter och omorganisering av behörigheter, - identifiering av SAP-sårbarheter, - integration av SIEM-lösningar med SAP, - optimering av SAP-licenser.