FAKTUROR OCH FINANS
SÄKERHET
CIRKULATION OCH ARKIVERING AV DOKUMENT
E-COMMERCE
ANALYTIK
MARKNADSFÖRING
DIGITALISERING AV INNEHÅLLInnebär för stora befogenheter för en SAP-användare en risk?
- Säkerhet
Det förefaller som om varje systemadministratör och åtminstone de användare som representerar den högsta ledningen är väl medvetna om vilka rättigheter var och en av dem har till systemet.
INGENTING KUNDE VARA LÄNGRE FRÅN SANNINGEN!
Praxis från SAP-revisioner har visat att så inte är fallet.
Vad ska man vara uppmärksam på när man tar över?
Det är ofta så att de befogenheter som en SAP-användare har är alltför omfattande. Även om de är medvetna om omfattningen av sina rättigheter, är denna medvetenhet redan bristfällig när det gäller de risker som kan vara förknippade med deras innehav.
Administratörer, å andra sidan, utan möjlighet att övervaka risker, utan dokumentation av kritiska aktiviteter, har inte heller någon möjlighet att vidta motåtgärder.
Vilka är farorna med för mycket makt?
Jag tror att det mest uppenbara exemplet (särskilt för dem med chefsroller inom det finansiella området, till exempel ekonomidirektörer) är när användaren (låt det vara en konsult) har ett konto som gör det möjligt för honom/henne att skapa och ändra finansiella dokument.
Behövs sådana behörigheter för den här användaren?
CFO:n kommer att säga: "Omöjligt! Och ändå! Sådana situationer uppstår mycket ofta och är i själva verket en fälla för den person som har tillgång till dem, eftersom de ökar risken för felaktig inblandning (jag antar inte avsiktlig handling) i de dokument som de har tillgång till och ger användarna från finansavdelningen ytterligare - onödigt - arbete med att korrigera dessa åtgärder.
De vanligaste exemplen på risker
Låt det den här gången vara administratören för SAP BASIS-modulen. Det är mycket vanligt att användare av den här typen har följande behörigheter:
- tillgång till affärstransaktioner,
- möjlighet att påverka dessa uppgifter,
- skapande av användare,
- tilldelar dem särskilda roller eller redigerar program.
Det är lätt att gissa att en användare med sådana rättigheter har också tillgång till och möjlighet att ändra uppgifter i huvudboken.
Vad innebär detta?
Den kan göra ändringar i kontoplanen och dessutom i alla affärshändelser som är relevanta för företaget/organisationen.
Behöver en administratör sådana befogenheter? Svaret är - NEJ.
Varför då?
Eftersom en sådan uppsättning rättigheter hos en person (användare) utgör ett verkligt hot mot systemets säkerhet.
SAMMANFATTNING
För att sammanfatta: en kollega till mig, som är den absolut bästa SAP-systemadministratören jag känner, säger:
„Den produktionsanvändare som håller i utvecklingsnyckeln är Gud.
Och han vet definitivt vad han talar om. Den person som har denna nyckel/behörighet kan göra alla ändringar i produktionssystemet.
Exempel: han kan skriva ett program som raderar, ändrar osv.
Tänk - det är omöjligt att sådana här situationer ska kunna inträffa!
Tro mig - situationer med felaktigt tilldelade behörigheter är mycket vanliga!
Om hantering och kontroll av rättigheter är en utmaning för dig, skriv till oss!
Mer från kategorin
- Säkerhet
Tomasz Jurgielewicz
Chef för säkerhetsavdelningen på Lukardi. Han har lett ett team av SAP Security-specialister i 10 år och tillhandahåller omfattande tjänster och verktyg för att säkra SAP-system och optimera licenser. Erfarenhet inom följande områden: - identifiering av behörighetskonflikter och omorganisering av behörigheter, - identifiering av SAP-sårbarheter, - integration av SIEM-lösningar med SAP, - optimering av SAP-licenser.