Cykliska verifieringar i SAP:s behörighetsområde

Aktie
  • SAP

Idag vill vi uppmärksamma en mycket viktig fråga inom området SAP-auktorisation säkerhet. Förutom enstaka projekt för omorganisation av roller och SOD är frågor som att upprätthålla ett projektutvecklat koncept för rättigheter och administrativ processordning i roller lika viktiga. Hur förhindrar vi att våra antaganden efter projektet „fladdrar” och hur undviker vi att rollerna blir röriga? En lösning är införande av cykliska kontroller. De kommer att se till att vi inte bara är mentalt bekväma, utan också tillräckligt förberedda inför den externa revisionens besök.

Bästa praxis för cykliska kontroller

Våra bästa metoder för cykliska kontroller bygger på tre huvudsakliga fundament:

  1. Metodik - Vad är det vi verifierar? Vem gör verifieringen? Hur mycket tid kan vi avsätta för detta? Hur verifierar vi innehållsmässigt och organisatoriskt?
  2. Verktyg - Hur gör vi den tekniska verifieringen (rapporter, SAP-element)?
  3. Dokumentation - Vad dokumenterar vi? Var förvarar vi rapporter och bekräftelser? Vem har tillgång till dokumentationen?

Fördelar med cykliska kontroller

Först och främst Cirkulär medvetenhet och kontinuerlig förbättring av säkerhetskunskap i alla celler i organisationsstrukturen inom företaget. Alla SAP-användare - slutanvändare, nyckelanvändare, ABAP-utvecklare, modulkonsulter, Basisteam eller driftchefer - måste förstå att säkerhet inte är ett engångsprojekt, utan ett ständigt pågående arbete (state of mind).

Hur ofta ska sådana kontroller utföras?

Ju oftare, desto bättre. Men i början av vår kontrollövning det är värt att utföra regelbundna kontroller en gång var sjätte månad. Med rätt verktyg blir en sådan verifiering enkel och tidsbesparande för alla deltagare. Om det inte är möjligt att genomföra kontroller var sjätte månad bör vi göra vårt bästa för att ha en större kontroll med hela organisationen en gång om året. Detta är ett absolut minimum.

Vad mer är värt att tänka på?

Alla organisationer kan granska alla delar av SAP:s säkerhetsområde. Här är några standardfrågor som är värda att „kommer under mikroskop”:

  • Status för SAP-roll - rollernas innehåll (PFCG) jämfört med efterlevnad av konceptet för rättigheter (vi bör ha ett sådant dokument och hålla det uppdaterat)
  • Profiltilldelning SAP_ALL, SAP_NEW
  • Användare i nödsituationer (en. Emergency users) så kallade FIREFIGHTERS - vem har rätt att använda dem? Finns det en utsedd person i organisationen som ansvarar för att verifiera de åtgärder som utförs på ett användarkonto med utökade behörigheter? Vilka åtgärder utförs av brandmannen i fråga (vi kontrollerar detta på transaktionsnivå i SM20 eller med större detaljrikedom i ett verktyg från GRC-gruppen, t.ex. SAST SUITE)
  • Status för tilldelning av roller till anställda - Cheferna för de berörda avdelningarna bör bekräfta eller förneka giltigheten av de tilldelade rollerna i SAP-systemen för specifika anställda.
  • SoD-konflikter - Vi bör göra en analys där vi jämför läget sedan den senaste revideringen med läget idag. Behövs nya riskreducerande åtgärder? Har det uppstått nya farliga konflikter som hotar företagets säkerhet?
  • Giltighet för SAP-konton - Låsa konton för anställda som inte längre arbetar (eller radera dem, beroende på organisationens policy)

Hur stöder SAST-verktyget det cykliska inspektionsprogrammet?

Som jag redan har nämnt använder vårt team verktygslösningar från GRC SAST Suite-gruppen. Här är några exempel hur SAST-verktyget stöder det cykliska inspektionsprogrammet:

  1. Automatisering - Verktyget har en motor som, baserat på standardfunktioner i SAP, gör det möjligt att generera cykliska rapporter i bakgrunden och lägga in dem i systemet för enkel hämtning och distribution till viktiga områdesägare.
  2. Olika typer av rapporter - innehållet i roller, tilldelning av roller till aktiva och inaktiva användare, användning av transaktioner per användare eller per roll (svarar på frågan: behöver vi så många transaktioner i en roll?) är bara några av de rapporter som finns tillgängliga i SAST-verktygen.
  3. Dokumentation - gör det möjligt att skapa PDF-dokumentation direkt från systemet och att skapa riskreducerande åtgärder, vilket gör systemet till den viktigaste resursen för riskreducerande åtgärder för specifika risker.

Avslutningsvis, en handfull små men användbara organisationstips

För att kunna planera cykliska verifieringar på ett bra sätt är det först och främst nödvändigt att öppet kommunicera inom organisationen Verifieringsaktiviteter. Vi föreslår att detta görs med iögonfallande affischer i företagets lokaler eller grafik som läggs in på intranätet, som kan nås av alla anställda som kommer att övervägas för verifiering.

Det är en bra idé att skapa en s.k. "kalender" i din kalender. „Blockerare” under hela den planerade verifieringsperioden. Att på detta sätt reservera tid i förväg (även sex månader i förväg) hjälper oss att undvika att ämnet hamnar i skymundan. Eftersom det dagliga operativa arbetet ofta är mycket hektiskt finns det en risk att vi nedprioriterar vår verifieringsuppgift till förmån för löpande stöd. Konsekvensen blir ett evigt uppskjutande av utförandet av den cykliska kontrollen.

Vi är här för att hjälpa till!

Vi hjälper dig gärna att genomföra cykliska verifieringar eller ger dig råd om hur du förbereder din operativa strategi och utbildar dina interna team.

Tomasz Jurgielewicz

Chef för säkerhetsavdelningen på Lukardi. Han har lett ett team av SAP Security-specialister i 10 år och tillhandahåller omfattande tjänster och verktyg för att säkra SAP-system och optimera licenser. Erfarenhet inom följande områden: - identifiering av behörighetskonflikter och omorganisering av behörigheter, - identifiering av SAP-sårbarheter, - integration av SIEM-lösningar med SAP, - optimering av SAP-licenser.