FAKTUROR OCH FINANS
SÄKERHET
CIRKULATION OCH ARKIVERING AV DOKUMENT
E-COMMERCE
ANALYTIK
MARKNADSFÖRING
DIGITALISERING AV INNEHÅLLÖvervakning av SAP-användarnas beteende
- Säkerhet
Ökade krav (t.ex. från RODO-förordningarna) tvingar organisationer att implementera lösningar som ökar säkerhetsnivån i system som behandlar personuppgifter. SAP är inget undantag. I dagens artikel visar vi hur du kan öka datasäkerheten i 3 steg.
Datasäkerhet handlar inte bara om behörigheter
För att bryta ner ämnet - låt oss börja med grunderna. Varje användare i SAP tilldelas behörigheter. Dessa avgör om en användare ska ges åtkomst till vissa datapartier eller om sådan åtkomst ska blockeras. Baserat på de tilldelade rollerna kan vi begränsa åtkomsten. Detta är ett faktum. Här uppstår dock ett ganska allvarligt problem när det gäller det potentiella läckaget av data utanför systemet.
1. övervaka visning av personuppgifter
SAP:s standardlösningar är begränsade till att hantera behörigheter. Standarden kommer inte att ge något tydligt svar på frågorna „vem”, „vad” och „när” som visas på skärmen. Numera kan alla användare med en vanlig mobiltelefon ta en bild av den skärm där personuppgifter visas (eller ta en utskrift av skärmen), och spåren av denna aktivitet är praktiskt taget obefintliga. Det är därför viktigt att i detalj övervaka och logga riskfyllda användaroperationer med större noggrannhet än den funktionalitet som tillhandahålls som standard.
Det finns fler exempel på potentiellt missbruk. Till exempel har privilegierade användare (även om de är administratörer) till och med obegränsad tillgång till data som innehåller känslig information. I de nya GDPR-kraven talas det om att övervaka dataåtkomsten så effektivt som möjligt. Det är inte bara de lagstadgade kraven som bör vara den enda faktorn för att få till stånd förändringar i åtkomstprocesserna för personuppgifter. För trots allt kan bara läckan av lönedata orsaka störningar bland de anställda. Uppgifter kan också fångas upp av konkurrenter - och detta är också en affärsfråga.
Ovan beskriver vi de viktigaste delarna av loggning av användarbeteende med noggrannhet för visning av personuppgifter, på ett globalt sätt. Upplösningen för användarövervakningen bör därför vara tillräckligt hög för att ge korrekt information om åtkomst till (visning av) SAP:s HR-uppgifter.
2. spara data till filer
Som standard tillåter SAP dig att globalt aktivera eller inaktivera möjligheten att ladda ner data (t.ex. från en rapport som du har tillgång till). Som standard tillåter loggarna endast information om när och vem som hämtade en fil med ett visst namn till en viss sökväg. Standarden saknar information om innehållet i de nedladdade filerna.
Uppmärksamhet kan riktas mot skärmen ovan genom prismat av information om potentiella överträdelser:
1 - Vilka data laddades ner? Ingen information tillgänglig
2 - Fanns det kritiska personuppgifter i filen? Ingen information
3 - kan vi återskapa den nedladdade filen? Nej, vi kan inte
Lyckligtvis (för datasäkerhet i SAP) finns det lösningar som kan hantera ovanstående problem på ett effektivt sätt. Genom att tillhandahålla utökad logginformation om specifika aktiviteter, med mycket högre upplösning.
Med hjälp av definierade nyckelord, rapporter eller filstorlekar kan administratörer få information om potentiellt missbruk av kritiska nedladdningar. Dessutom skjuts varje nedladdning upp (under en viss tid), så att det är möjligt att återställa den nedladdade filen helt och hållet.
3. Användning av transaktioner
Att minska riskerna för obehörig åtkomst till data handlar också om att se till att beviljade behörigheter hålls på ett minimum. Utgångspunkten är att de beviljade behörigheterna inte alltid 100% motsvarar de som krävs (de är ofta mycket större än vad den anställde faktiskt behöver för att utföra sina dagliga arbetsuppgifter). Användningen av transaktioner bör därför analyseras med avseende på deras användning.
Statistiken är placerad i ST03N och uppdateras månadsvis. Med detta:
- oanvända transaktioner kan tas bort från användarrättigheter
- transaktioner som inte används i rollen (av någon användare) - kan tas bort från rollen helt och hållet
Sammanfattning
Ovanstående uppsättning av tre användarövervakningselement som du kan utöka ditt SAP-system med stöder dina riskhanteringsprocesser och förbättrar direkt säkerheten. En sådan åtgärd gör att du snabbt kan sortera ut potentiella möjligheter till missbruk.
Här är det värt att lägga till ytterligare en vansinnigt viktig sak ur perspektivet användarövervakning.
Under ett av våra projekt, några veckor efter att ovanstående funktioner hade implementerats, informerades användarna om att deras aktiviteter övervakades. Antalet nedladdningar av filen minskade med cirka 63%.
Och vad gör dina användare i SAP?
Mer från kategorin
- Säkerhet
Tomasz Jurgielewicz
Chef för säkerhetsavdelningen på Lukardi. Han har lett ett team av SAP Security-specialister i 10 år och tillhandahåller omfattande tjänster och verktyg för att säkra SAP-system och optimera licenser. Erfarenhet inom följande områden: - identifiering av behörighetskonflikter och omorganisering av behörigheter, - identifiering av SAP-sårbarheter, - integration av SIEM-lösningar med SAP, - optimering av SAP-licenser.