Autoryzacje w systemie SAP - BPX

Wstęp

Bezpieczeństwo w realnym świecie może oznaczać wolność od jakiejś potencjalnej formy zagrożenia lub np. ochronę przed wrogimi zamiarami lub działaniami. W świecie wirtualnym bezpieczeństwo można zdefiniować podobnie jak bezpieczeństwo fizyczne, ale z małą różnicą – czasem w świecie wirtualnym nie tylko intencjonalne, ale też niezamierzone działania mogą zapewnić całemu systemowi kres jego istnienia. Bezpieczeństwo w SAP nie jest odstępstwem od bezpieczeństwa wirtualnego, a jego cele można zdefiniować następująco: chronić systemy SAP przed atakującymi oraz chronić użytkowników przed nimi samymi, zapewniając im minimalny wymagany poziom autoryzacji do systemu, który umożliwia ich efektywną pracę.

Z artykułu dowiesz się:

  • Czym jest SAP Security?
  • Za co odpowiedzialny jest analityk bezpieczeństwa systemu SAP?
  • Dlaczego zapewnienie bezpieczeństwa systemu SAP jest tak istotne?

SAP Security jest częścią komponentu BASIS systemu SAP, a osoby pracujące w tym obszarze są zazwyczaj konsultantami BASIS lub czasami (w większych firmach) członkami wydzielonego zespołu operacyjnego SAP Security. Bezpieczeństwo SAP jest często regulowane przez publiczne akty rządowe, takie jak np. Sarbanes-Oxley Act (SOX) ze względu na poufną specyfikę pracy w zakresie finansów lub innych krytycznych obszarów biznesowych.

Za co odpowiada analityk bezpieczeństwa?

Ogólnie rzecz biorąc, funkcje analityka bezpieczeństwa można określić następująco:

  1. Tworzenie i utrzymywanie kont użytkowników – przypisywanie danych osobowych do konta, daty ważności i ról
  2. Tworzenie i utrzymanie ról SAP – przypisanie minimalnego wymaganego zestawu funkcjonalności do roli
  3. Zapewnienie spełnienia zasady rozdzielenia obowiązków (ang. Segregation of Duties)
  4. Zapewnienie zgodności bezpieczeństwa systemów SAP z ustawami i przepisami rządowymi
  5. Ogólne wsparcie użytkowników w kwestiach związanych z bezpieczeństwem SAP
  6. Zapewnienie poufności i bezpieczeństwa danych w systemach

Dlaczego bezpieczeństwo jest ważne?

W małych systemach SAP zwykle nie przywiązuje się aż tak dużej wagi do tematu bezpieczeństwa, ze względu na skalę systemu i konsekwencje zagrożeń, które mogą się pojawić w przyszłości. Przykładem małego systemu może być np. system SAP, w którym istnieje tylko jedna jednostka gospodarcza (ang. Company code), która jest utrzymywana przez niewielką liczbę specjalistów pochodzących z tej samej firmy.

Wszystko się zmienia, gdy z jakichś powodów nie chcemy dopuścić do dostępu do danych po określonej stronie – np. dana osoba nie powinna mieć dostępu do operacji na danych (dane finansowe nie powinny być przeglądane przez logistyka), dane określonej jednostki gospodarczej nie powinny być oglądane lub edytowane przez osobę przydzieloną do innej jednostki gospodarczej.

W tym miejscu bezpieczeństwo zyskuje na znaczeniu.

Mechanizmy bezpieczeństwa SAP, którymi się posługują członkowie specjalnych zespołów Security lub BASIS, mogą uniemożliwić lub umożliwić użytkownikom wykonywanie pewnych czynności w systemie – można to osiągnąć poprzez zarządzanie kontami użytkowników w systemach SAP i tworzenie lub utrzymywanie tzw. ról, które mogą nadawać różne poziomy dostępu do systemu. Bardzo często spotykany podział poziomów dostępu można opisać następująco:

– Poziom dostępu o niskiej wrażliwości – tryb wyświetlania w transakcji, zazwyczaj jest to nieszkodliwy dostęp, który jest przyznawany do przeglądania ograniczonego zestawu danych.

– Średnio-wysoki wrażliwy poziom dostępu – edycja danych w transakcjach SAP, może być przyznana użytkownikowi w zakresie jego specjalizacji, a nieprzemyślane działania na tym poziomie dostępu mogą doprowadzić do poważnych strat biznesowych.

– Poziom dostępu krytyczny – może być przyznany za specjalną zgodą użytkownikom, którzy wykonują pewną wymaganą konfigurację systemu produkcyjnego (np. gdy projekt zmienia stan z testowego na produkcyjny), nieostrożne działania na tym poziomie dostępu mogą spowodować poważne szkody dla całego systemu SAP.

W mniejszych systemach SAP, zespół bezpieczeństwa zazwyczaj operuje bezpośrednio na kontach użytkowników poprzez takie transakcje jak SU01 czy PFCG, natomiast w większych systemach operacje te wykonywane są zazwyczaj przy użyciu narzędzi wspierających procesy bezpieczeństwa. Najbardziej znanym z nich jest narzędzie GRC (Governance, Risk, Compliance) zewnętrznie zintegrowane z systemem SAP. Narzędzie GRC pozwala na obliczanie tzw. ryzyk SoD – problemu przydzielania zbyt dużego dostępu poprzez nadawanie użytkownikom ról sprzecznych, a także pomaga scentralizować i ułatwić operacje związane z autoryzacjami.

Jak my to robimy?

Konsultanci BPX posiadają ogromne doświadczenie w dziedzinie bezpieczeństwa SAP, które zaowocowało zakończeniem z sukcesem wielu dużych projektów. Część z nich realizowaliśmy dla jednej z największych firm spożywczych na świecie oraz dla innych Partnerów, którzy nam zaufali.

Oto podsumowanie kilku naszych międzynarodowych realizacji:

  • Europa, 2014 – ponad 1500 stworzonych ról i ponad 900 użytkowników z dostępem, udany go-live w 2014 roku.
  • USA, 2017 – pełne wsparcie zespołów biznesowych i IT od początku do końca projektu, udany go-live w 2017 roku.
  • Ukraina, 2020 – zakończona sukcesem pomoc ekspercka ze strony BPX dla ukraińskiego biznesu, pełne wsparcie w komunikacji pomiędzy lokalnym biznesem a zespołem template i właścicielami procesów biznesowych, ponad 100 nowych transakcji dodanych do istniejących ról, udany go-live w 2020 roku, który został przeprowadzony w pełni zdalnie z powodu pandemii.
  • USA, 2020 – ciągłe wsparcie użytkowników biznesowych w zakresie dostępu i ról, ponad 700 ticketów zrealizowanych z sukcesem.
  • Wsparcie bezpieczeństwa ad hoc w projektach.

Cyberbezpieczeństwo w systemach SAP jest bardzo istotne dla biznesu i nabiera na znaczeniu. Dzięki odpowiednim strategiom i zadbaniu o kwestie bezpieczeństwa danych możesz chronić swoją firmę przed potencjalnymi zagrożeniami.

Napisz do nas i dowiedz się więcej o dedykowanych rozwiązaniach SAP! bpx@bpx.pl

 

Autor:

Dzmitry Korsak – w BPX od 2019 r., Konsultant SAP BASIS, SAP Security Functional Expert

Poprzedni wpis: SAP Collections Management

 

Kontakt z Nami

W czym możemy Ci pomóc?

Wypełnij poniższe pola i wyślij formularz - odpowiemy niezwłocznie