Jak zarządzać konfliktem uprawnień od momentu wniosku użytkownika?

Czy nie byłoby wspaniale myśleć o uprawnieniach w sposób prewencyjny i przeciwdziałać konfliktom SoD, zanim stanie się coś niepokojącego jak użycie krytycznej transakcji przez użytkownika działającego na szkodę organizacji? Jak nie dopuścić do konfliktu na samym początku „łańcucha” uprawnień?


SAST User Access Management pozwala na implementację takiego modelu workflow, który umożliwia już na etapie wnioskowania weryfikację konfliktu SoD. W ten sposób zaoszczędza się pracy administratorom uprawnień czy zespołom autoryzacyjnym przy wykonywaniu ręcznych symulacyjnych kontroli SoD.

  1. Przyjrzyjmy się zatem jak działa SAST UAM w praktyce: W poniższym dwuminutowym video zobaczą Państwo proces wnioskowania przez użytkownika o przypisanie nowej roli z transakcją FEBAN (Wyświetlanie pozycji wyciągu z konta):
Filmik 1 Wniosek

Po wypełnieniu pola z treścią wniosku i nazwy użytkownika, który wnioskuje o dostęp, na tym samym ekranie należy wejść w wyszukiwarkę ról, gdyż wnioskujemy automatycznie o rolę (zawierającą pożądaną transakcję), a nie transakcję celem skrócenia obiegu. Użytkownik wnioskujący ma następujące opcje wyboru roli:

• Może wnioskować o konkretną rolę jeśli zna jej nazwę (Role Name)
• Może wnioskować o rolę po nazwie transakcji (Tcode in Role)
• Może wnioskować o rolę przypisaną do innego konkretnego pracownika - może być przydatne w momencie gdy np. użytkowniczka chce zawnioskować o rolę, którą ma jej kolega, bo będzie go zastępować podczas urlopu? (Roles from user)
• Może wnioskować o rolę z wcześniej zdefiniowanego stanowiska (Workplaces)

Po wybraniu odpowiedniej roli użytkownik może przesłać wniosek do akceptacji przełożonego lub właściciela roli (istnieje również możliwość dodania odbiorcy dodatkowego w postaci Zespołu IT, który filtruje wnioski przed dostarczeniem ich do Akceptantów). Przed wysłaniem nastąpi jednak sprawdzenie konfliktów SoD w relacji do aktualnie przypisanych uprawnień oraz nowo wybranej roli przez wnioskodawcę. W przypadku wystąpienia konfliktu pojawi się komunikat ostrzegający o wykryciu konfliktu. W takim momencie wnioskodawca ma możliwość rezygnacji z dalszego wnioskowania, czyli przesyłania do akceptacji, jednak może również wysłać wniosek mimo konfliktu SoD, pozostawiając decyzję przełożonemu, właścicielowi roli lub oficerowi SoD.

2. Teraz proszę przyjrzeć się, w jakiej formie wniosek wyświetla się u Akceptantów oraz jak zmienia się status wniosku:

Filmik 2 Akceptacja

3. Po otrzymaniu akceptacji wniosek trafia do tzw. Implementatora (czyli Administratora Uprawnień), który może za pomocą jednego kliknięcia z konsoli SAST dodać wnioskowaną rolę do konta użytkownika:

Filmik 3 Implementacja

Jesteście ciekawi jak wyglądają w narzędziu SAST User Access Management inne procesy takie jak stworzenie, usunięcie czy blokowanie użytkownika lub procesy związane z zarządzaniem rolami?

Zapraszamy do kontaktu, z chęcią zaprezentujemy pełne możliwości narzędzia.

Bernadeta Szwarc: bernadeta.szwarc@lukardi.com
Tomasz Jurgielewicz: tomasz.jurgielewicz@lukardi.com

WARTO PRZECZYTAĆ RÓWNIEŻ:

Autoryzacje SAP - Zbiór podstawowych pojęć część 2

Czy podobało się Tobie nasze ostatnie zestawienie pojęć SAP? Jeśli tak, zapraszam na drugą część, w której kontynuujemy budowanie słownika podstawowych elementów świata autoryzacji SAP.

Słownik podstawowych elementów świata autoryzacji SAP

Obiekt autoryzacji (ang. Authorization object) – istotny z perspektywy uprawnień element SAP, dzięki któremu dostęp użytkownika (a dokładnie jego uprawnienia) jest kontrolowany za pomocą kontrol zaprogramowanych w danym obiekcie. Obiekt zazwyczaj składa się z różnych pól np. ACTVT (czynności) i BUKRS (jednostka gospodarcza). Obiekt uprawnień tworzy się w transakcji SU21.


Pole i wartości pól obiektu (ang. Field and field value) – Obiekt autoryzacji składa się z pól, a pola muszą być wypełnione wartościami aby uprawnienia działały. Na przykład, żeby można było wyświetlać dokumenty księgowe pole ACTVT musi być wypełnione wartością 03 (display), a pole BRGRU (authorization group) odpowiednią grupę, do której są przypisane dane dokumenty.


GRC (ang. Governance, Risk and Compliance) – Obszar technologiczno-biznesowy w przedsiębiorstwach, którego głównymi wyzwaniami są definiowanie oraz kontrola ryzyk i przestrzeganie zasad zgodności. W dużym skrócie. SAST jest jednym z dostępnych na rynku globalnym narzędzi do zarządzania GRC w małych i dużych organizacjach.


Konflikt Uprawnień (ang. Authorization conflict) – W świecie ludzi, aby powstał konflikt wystarczą dwie osoby, które wchodzą ze sobą w interakcję. W ekosystemie konfliktów uprawnień SAP to przynajmniej dwie transakcje czy podprocesy, które w zestawieniu ze sobą generują konflikt czyli ryzyko biznesowe czy techniczne.


SoD (ang. Segregation of Duties) – czyli podział obowiązków. Według standardów SAP, dostęp do transakcji powinien być odpowiednio zorganizowany tak, aby przedsiębiorstwo nie narażało się na ryzyko. O Jaki podział obowiązków chodzi? Na przykład taki żeby Ania uzupełniała dane pracowników o konta bankowe a Janek zwalniał przelewy pracownikom w dniu wypłat, jedna osoba nie powinna mieć uprawnień do obu czynności gdyż taka sytuacja umożliwiałaby potencjalne nadużycie uprawnień. Taki rozdział i model stanowisk musi być zaprojektowany przed utworzeniem docelowych ról.


Macierz/matryca konfliktów uprawnień (ang. Authorization conflicts matrix)
– zbiór pogrupowanych konfliktów, czyli „co z czym się gryzie”. Dobrą praktyką jest pogrupować konflikty według modułów SAP oraz należy pamiętać, aby zaimplementować w matrycy własne rozwiązania zetowe. SAST Authorization Management dostarcza bibliotekę konfliktów z ponad 100 zdefiniowanymi konfliktami z podziałem na moduły oraz procesy.


Trace/śledzenie – za pomocą transakcji ST01 (lub SAST SGM) można śledzić wykonywane przez użytkownika działania na zasadzie zbierania przez system logu z informacjami o wywoływanych transakcjach i czynnościach (z podziałem na obiekty i wartości). Trace’a często używa się przy tworzeniu nowych ról gdy wypełnienie pól w roli nie jest oczywiste lub w przypadku pojawiających się powtarzających komunikatów o braku uprawnień.


Firefighter – użytkownik specjalny, dedykowany do sytuacji awaryjnych. Często ma przypisane role z rozszerzonymi uprawnieniami do działań przy „pożarach” na systemie. Na przykład gdy trzeba szybko coś naprawić, aby nie zakłócać procesów biznesowych. Tacy użytkownicy są często przypisywani użytkownikom zewnętrznym jak konsultanci modułowi czy developerzy. SAST Super User Management pozwala na zarządzanie użytkownikami awaryjnymi za pomocą wnioskowania i akceptacji admina systemu lub na stały dostęp. Każde działania takiego firefightera od momentu zalogowania jest monitorowane i zapisywane w logach systemu.


SAP_ALL – profil o pełnych wartościach dla każdego aktywnego obiektu autoryzacji na systemie. Użytkownik z takim profilem ma pełne uprawnienia w modułach biznesowych (FI, HR, MM, etc) oraz developerskie i administracyjne systemu. Nie zaleca się nadawać takich profili użytkownikom, zwłaszcza na systemie produkcyjnym. Dlaczego jest zatem tak popularną wpadką administratorów? Przypisanie SAP_ALL do użytkownika trwa 3 sekundy, zaś analiza i przygotowanie dedykowanych ról, testy oraz ewentualne poprawki (okraszone zniecierpliwionymi komentarzami docelowych odbiorców ról) odrobinę dłużej…


Gwiazdki – magiczne gwiazdki („*”) mogą pojawić się w komentarzach audytorów przeglądających nasze role SAP „o, a tutaj są same gwiazdki, ktoś poszedł na łatwiznę, czy ktoś w ogóle weryfikował te role”? „Dlaczego młodszy księgowy ma gwiazdki na dokumentach, kontach i w działaniach”? O jakie gwiazdki chodzi? Gwiazdki w SAP = wszystko, czyli pełne uprawnienie w zakresie danego obiektu uprawnień, np. każdy rodzaj działań, każdy dokument, każda tabela, etc.


SU53 – „podeślij mi screena z SU53”, możesz to usłyszeć od swojego admina uprawnień. To transakcja, która pozwoli na szybką weryfikację brakujących uprawnień (dla twojego użytkownika) w postaci obiektu autoryzacji oraz wartości.

Potrzebujesz więcej informacji? Skontaktuj sę z nami!

Jeśli podoba się Tobie nasz słowniczek i chciałbyś/chcialabyś wziąć udział w dedykowanym warsztacie uprawnień i konfliktów SAP – napisz do nas.

Zaproponujemy interesującą i dopasowaną do Twoich potrzeb formułę.

Autor: Bernadeta Szwarc

Powiązane artykuły:

W świecie uprawnień SAP - zbiór pojęć
Co powinna zawierać koncepcja uprawnień SAP?
Jak zdefiniować koncepcje autoryzacji?
Projekt reorganizacji uprawnień

Czy reorganizacja konfliktów SoD i uprawnień SAP musi być bolesna?

Projekt Reorganizacji Uprawnień - przykładowe scenariusze

Na ostatniej konferencji poświęconej SAP Security – wskazówki dla bezpieczeństwa dzieliłam się z Państwem wiedzą zdobytą podczas zarówno projektów reorganizacji SoD i uprawnień jak i codziennych zadań w ramach Managed Services. Dla tych z Państwa, którzy nie mogli uczestniczyć w konferencji przygotowałam krótkie podsumowanie.

Na samym początku zadaliśmy sobie pytanie co może być przyczyną decyzji o rozpoczęciu takiego przedsięwzięcia jakim jest Projekt Reorganizacji Uprawnień. Przykładowe scenariusze to:

  1. W firmie doszło do wycieku danych lub oszustwa finansowego wynikającego ze zbyt szerokich uprawnień użytkownika.
    O zdarzeniu dowiedzieliśmy się przypadkiem. O ilu zdarzeniach się nie dowiedzieliśmy?
  2. Doszło do awarii na systemie produkcyjnym – niezamierzony błąd ludzki. Czy uprawnienia były zbyt szerokie? Czy wiemy jak odtworzyć błąd? Czy system przechowuje logi i wiemy jak je czytać?
  3. Bałagan w rolach SAP, utrata poczucia kontroli nad rolami. Dodajemy nowe uprawnienia do ról, nie odbieramy uprawnień. Rezultat: wszyscy mają dostęp do (prawie) wszystkiego.

Pojęcia z zakresu SoD

Przypomnieliśmy sobie również podstawowe pojęcia z zakresu SoD - od ogółu do szczegółu:

Termin Definicja
Matryca SoD zbiór zdefiniowanych oraz opisanych konfliktów uprawnień w danym obszarze (np. FI, TR, SD, HR, Basis)
Konflikt SoD krytyczne zestawienie przynajmniej dwóch procesów biznesowych (np. wystawianie płac + zmiana konta bankowego, otwieranie okresów księgowych + zwalnianie dokumentów do płatności, konfiguracja systemu + import transportu)
Ryzyko opis konfliktu SoD z punktu widzenia biznesowego oraz możliwych konsekwencji wynikających z przypisanych uprawnień
Proces działanie biznesowe (np. otwieranie okresu księgowego, zwalnianie dokumentów do płatności)
Authorization ID zdefiniowane transakcje, raporty, tabele czyli wartości pól SAP sprawdzanych przez silnik zdefiniowanej i skonfigurowanej na systemie SAP matrycy. Wszystko to co chcemy wyłapać jako „krytyczne” w uprawnieniach kontrolowanych użytkowników
Mitygacje
kontrola ryzyk, do których powinien zostać odebrany/zachowany dostęp dla określonych użytkowników; kontrole mogą być manualne, kompensacyjne, automatyczne, zgodne z zasadą „four eyes principle”
SOD Segregation of duties czyli każdy pracownik wykonuje wyłącznie swoją część procesu i nikt nie jest uprawniony do działań wykraczających poza stanowiskowe obowiązki!

Planowanie PRU

Planując PRU należy zaplanować przynajmniej poniższe 5 faz:

  1. Analiza aktualnych konfliktów SoD, problemów autoryzacyjnych, stanu ról, stanu procedur
  2. Planowanie zadań i odpowiedzialności w PRU, nowa Koncepcja Uprawnień
  3. Konfiguracja nowych ról, Firefighter
  4. Testy/Pilot
  5. Start Produkcyjny – Hyper care, dokumentacja ma swoich właścicieli, mitygacje

W trakcie projektu czeka na nas cała masa wyzwań oraz pułapek, na przykład gdy przeanalizujemy krytyczne dostępy na systemie SAP i wykryjemy kto ma przypisany profil SAP_ALL…

Może się okazać, że nie tak łatwo poszczególne osoby będą chciały oddać taki szeroki, wygodny dostęp. Argument: „jestem kluczowym użytkownikiem i potrzebuję szerokiego dostępu na cito w razie awarii na systemie”.
Kolejna niespodzianka dotyczy innego ważnego aspektu w projekcie. Otóż projekt reorganizacji uprawnień i SoD to projekt wybitnie interdyscyplinarny. Aby stworzyć perfekcyjny zespół projektowy musimy zaangażować i podzielić zadania zarówno wśród użytkowników biznesowych jak i technicznych (Zespół Autoryzacji, konsultanci modułowi, developerzy, Basis). Niestety, bardzo często gdy projekt ma w nazwie „autoryzacje” właściciela projektu często przypisuje się w zespołach IT:

Przykłady zestawienia narzędzi standardowych SAP z narzędziami SAST Suite

Po zdefiniowaniu właścicieli tematów i zadań w każdej fazie projektu należy zastanowić się nad odpowiednimi narzędziami, które mogą być przydatne w projekcie reorganizacji uprawnień i SoD. Warto przyjrzeć się dostępnym w SAP oraz na rynku narzędziom, które redukują czasochłonność i automatyzują pracę zespołu projektowego. Poniżej podaję przykłady zestawienia narzędzi standardowych SAP z narzędziami SAST Suite.

  1. Matryca konfliktów SoD – czyli nasz silnik autoryzacyjny. Działania rozpocznijmy od zebrania i udokumentowania procesów krytycznych w organizacji.

    Standard SAP: konfiguracja „Critical combinations” i „Critical authorizations” w SUIM. Weryfikacja wyłącznie na poziomie dostępu do Tcode’a (transakcji).
    SAST Suite: gotowa biblioteka konfliktów SOD (ponad 300 zdefiniowanych konfliktów) z podziałem na moduły SAP. Weryfikacja na poziomie dostępu do Tcode’a + obiekt uprawnień + wartość pól obiektu uprawnień.

Przykład wycinka matrycy HR w SAST Suite:

Fragment biblioteki krytycznej autoryzacji – transakcja PA30 + obiekt autoryzacyjny wraz z krytycznymi transakcjami:

  1. Zarządzanie rolami SAP – podczas projektu reorganizacji uprawnień często będziemy tworzyli nowe role lub modyfikowali istniejące

    Standard SAP: tworzenie i modyfikacja ról według potrzeb i zdefiniowanych (jeśli są) stanowiskach - PFCG

    SAST Suite: gotowe do użycia role szablony (wgrywane na system standardowym transportem SAP) – z podziałem na role biznesowe, techniczne, moduły SAP oraz stanowiska

    Rezultat: Ujednolicona konwencja nazewnictwa ról + Obszerny opis roli:


  1. Zarządzanie rolami SAP – w przypadku prężnie rozwijających się spółek pojawiają się mini projekty związane z rolloutami. Należy wówczas zorganizować nowe uprawnienia dla nowych poziomów organizacyjnych.

    Standard SAP: Należy utworzyć role referencyjne, na których bazie tworzy się role pochodne z nowymi poziomami organizacyjnymi – kopiowanie ról + manualna modyfikacja w PFCG

    SAST Suite: Zdefiniowanie ról referencyjnych + utworzenie orgsetów z wartościami nowych poziomów organizacyjnych + automatyczne utworzenie ról pochodnych

    Automatyczne tworzenie ról z nowymi poziomami organizacyjnymi:

Rezultat: po zdefiniowaniu wartości w orgsecie automatyczne utworzenie roli o nazwie: YFI_C_AC00:AA-DAILY wraz z uzupełnionymi poziomami organizacyjnymi

  1. Trace – używamy tej funkcjonalności celem prześledzenia działań użytkownika na systemie względem wykorzystywanych autoryzacji

    Standard SAP: ST01 lub SM20 (Security Audit Log), SU53, STUSOBTRACE

    SAST Suite: możliwość rozpoczęcia śledzenia dowolnych użytkowników z jednego dashboardu + pełne dane dotyczące wykonywanych czynności + utworzenie roli z trace’a

    Śledzenie użytkownika + tworzenie roli z wykorzystywanych uprawnień + wyświetlenie brakujących uprawnień

Rezultat: utworzenie roli z prześledzonego na wybranym użytkowniku trace’a.

Podsumowanie

Nie zapominajmy o pozostałych wyzwaniach Projektu Reorganizacji Uprawnień:

Zapraszamy do kontaktu

Gdyby zainteresowało Państwa szczególnie któreś z omówionych zagadnień, serdecznie zapraszam do kontaktu. Do usłyszenia na kolejnej konferencji SAP Securitywskazówki dla bezpieczeństwa!

Bezpieczeństwo SAP

Bezpieczeństwo SAP

Wymogi dotyczące bezpieczeństwa nieprzerwanie wzrastają, a zabezpieczenie krytycznych danych w organizacji jest jedną z podstawowych kwestii, gwarantujących ciągłość podstawowych procesów biznesowych.
Środowiska systemowe stają się coraz bardziej złożone (komunikacja z systemami zewnętrznymi, wymiana danych oraz ciągły rozwój istniejących systemów).

Podczas ewentualnego ataku na system SAP (bez względu na to, czy atak pochodzi z wewnątrz czy z zewnątrz organizacji) osoba atakująca może uzyskać dostęp do cennych informacji systemowych.
W związku z tym może wykorzystać te informacje do dalszych ataków na inne systemy SAP a także uzyskać ważne dane firmowe (dane klientów, informacje o produkcie, np. receptury i rysunki techniczne, dane o wynagrodzeniu itp.) w sposób niezauważony.

Zarządzanie bezpieczeństwem sprowadza się do zarządzania ryzykiem

Przede wszystkim, aby zrobić to odpowiednio należy zewidencjonować wszystkie ryzyka i pogrupować je wg priorytetów po to, by organizacja posiadająca system SAP mogła poznać i skorygować ewentualne zagrożenia dla systemu SAP (na przykład z pomocą zewnętrznego wsparcia).
Badanie bezpieczeństwa i zgodności SAP obejmuje sprawdzenie sieci, systemu operacyjnego, bazy danych, parametrów, konfliktów SoD w systemie SAP w oparciu o dostarczane matryce ryzyk i konfliktów.

6 podstawowych obszarów ryzyk

Wyszczególniliśmy 6 podstawowych obszarów ryzyk, które należy wziąć pod lupę w pierwszej kolejności.
Obszary podzieliliśmy na dwie części: techniczną oraz użytkowników.

Warstwa techniczna

1. Ustawienie konfiguracji SAP

Warstwa parametrów konfiguracyjnych, które powinny odpowiadać polityce bezpieczeństwa organizacji. Parametry te należy kontrolować regularnie.

Przykład:

login/password_expiration_time (wartość domyślna 0, nasza rekomendacja 30)
Użytkownik musi zmienić hasło po określonej ilości dni (dla parametru 0 wymuszenie nie jest włączone).


login/min_password_lng
(wartość domyślna 3, nasza rekomendacja 8+)
Ustawienie minimalnej długości hasła.

login/fails_to_user_lock (wartość domyślna 12, nasza rekomendacja 5)
Ilość źle wpisanego hasła do blokady konta użytkownika.

2. Weryfikacja zdarzeń i ustawień "na" i "poza" warstwą SAP

Poziom SAP

SAP Security Audit Log:

  • główny log bezpieczeństwa,
  • część informacji jest mało czytelna z perspektywy bezpieczeństwa,
  • zalogowanie usera SAP* nie stanowi wg logu ryzyka, podczas gdy ryzykiem jest źle wpisane hasło logowania.

SAP Change Documents and Table Loggin:

  • logowanie zmian dokumentów oraz zmian w tabelach,
  • niska jakość w przypadku braku archiwizacji dokumentów w czasie.

SAP System Log:

  • główny log systemu SAP,
  • logi nadpisywane po 14 dniach.

Poziomy poza SAP

Log systemu operacyjnego Windows/UNIX - problemem jest np. fakt, że administrator musi posiadać uprawnienia root do samego odczytu logów

Log bazy danych – brak możliwości analizy ustawień bazy danych z poziomu SAP (np. Informacja o kontach i ich autoryzacjach)

Logi sieciowe SAP Router/HTTP - problemem jest brak standardowych rozwiązań do przekierowania logów do syslogu

3. Aktualizowanie Patchy systemowych

Każdy system jest podatny na działania hackerskie, SAP nie jest wyjątkiem, dlatego istotne jest, aby regularnie instalować łatki systemowe.
Dzięki nim pojawiają się informacje o włamaniach z wykorzystaniem znanych podatności.

Przykład 1 - raport Departamentu Bezpieczeństwa USA wskazującego na włamania do co najmniej 36 globalnych systemów SAP z wykorzystaniem luki znanej (i naprawionej) od 2010 roku. Więcej na https://bit.ly/28Kpk5r

Przykład 2 - coroczne spotkanie społeczności zajmującej się tematyką bezpieczeństwo the PWNIE Awards w 2015 roku przyznało pierwszą nagrodę w kategorii Best Server-Side Bug za wykrycie podatności w SAP, pozwalającej na nieautoryzowany dostęp do systemu https://bit.ly/29Se5hB

Warstwa użytkowników

4. Domyślne konta

Podczas wdrożenia systemu SAP tworzone są domyślne konta użytkowników. Służą one do wstępnej instalacji systemu, powszechnie znane są zarówno z nazwy jak i hasła.
Niezwykle ważna jest odpowiednia ochrona tych kont.
Najbardziej krytyczne konto to SAP* (pozwala na praktycznie nieograniczoną możliwość dostępu i zmian w systemie).

Hasła kont domyślnych należy zmienić, a profile wysoko uprzywilejowane (np. SAP_ALL) należy usunąć.
Istotne jest to, że w przypadku usunięcia konta domyślnego - odtworzy się ono automatycznie (z domyślnym hasłem).
Konto SAP* powinno zatem mieć zmienione hasło, a parametr login/no_automatic_user_sapstar ustawione na wartość 1 (brak możliwości odtworzenia automatycznego konta SAP*).

5. Domyślne profile

Tak jak w przypadku kont domyślnych, SAP posiada (dostarczane wraz z instalacją) zestawy profili autoryzacyjnych, pozwalających na szeroki dostęp do systemu. Wykorzystanie tych profili powinno być bardzo restrykcyjnie zarządzane, a ich użycie ograniczone tylko do sytuacji awaryjnych.

Najważniejszym profilem szerokiego dostępu jest SAP_ALL - pozwala on na wykonanie dowolnej transakcji, dostępu do dowolnego obiektu, funkcji czy akcji (nie bez powodu w żargonie administratorów SAP o tym profilu zwykło się mówić "Bóg na systemie"). Istotne jest by ten profil nie został nigdzie przypisany. Podobnie sprawa ma się z profilem SAP_NEW

6. Konflikty uprawnień

Nieodpowiednie dostarczenie użytkownikom praw dostępu do różnych części systemu to zwiększone ryzyko defraudacji.

Przykład: jeśli jedna osoba posiada zarówno możliwość zmiany numeru konta bankowego oraz możliwość wykonania przelewu - istnieje możliwość obejścia polityk organizacji w celu wyprowadzenia pieniędzy na zewnątrz.

Reasumując: istotne jest aby odpowiednio zarządzać matrycą konfliktów uprawnień. Matryca taka pozwala przede wszystkim na identyfikację istniejących konfliktów, a weryfikacja dostępów poszczególnych użytkowników pozwoli na ocenę ryzyk. Realizacja skutecznej polityki dostępów do danych w SAP stanowi jeden z najważniejszych elementów uszczelnienia środowiska SAP pod kątem ryzyk, których głównym czynnikiem jest działanie użytkownika.

WARTO PRZECZYTAĆ NA TEMAT BEZPIECZEŃSTWA SAP: