W przedsiębiorstwach, w których wykorzystywany jest system SAP ERP, w większości przypadków pełni on rolę centralnego systemu informatycznego organizacji. Składowane są w nim i przetwarzane newralgiczne dane oraz wykonywane są kluczowe operacje biznesowe.
Dlatego utrata danych, niedostępność oraz niekontrolowany wyciek informacji przetrzymywanych w systemie może prowadzić do strat finansowych, utraty wiarygodności lub w najgorszym scenariuszu – do paraliżu działania przedsiębiorstwa pozbawionego np. indeksów materiałowych lub danych finansowych.
Z tego punktu widzenia zapewnienie bezpieczeństwa systemu SAP, czyli zapewnienie bezpieczeństwa danych, które są w nim składowane oraz przetwarzane, stanowi istotny element zarządzania systemem.
Bezpieczeństwo przede wszystkim
W rozważaniach o bezpieczeństwie należy wziąć pod uwagę dwa jego aspekty. Pierwszy to zabezpieczenie przed utratą danych i niedostępnością systemu. Podstawą jest tutaj Zarządzanie Ciągłością Działania (BCM – Business Continuity Management), w którego skład wchodzą między innymi Plany Ciągłości Działania (BCP – Business Continuity Plans) oraz Plany Odtwarzania Utraconych Zasobów (DRP – Disaster Recovery Plans).
Drugim ważnym aspektem związanym z bezpieczeństwem jest przede wszystkim ochrona danych przed niepowołanym dostępem. Tu z kolei wyróżniamy ochronę zewnętrzną i wewnętrzną. Z zewnątrz dane chronione są przez odpowiednią konfigurację infrastruktury IT, poczynając od sieci, poprzez system operacyjny, bazę danych po dostęp do samej aplikacji.
SAP pod kontrolą
Nasze wewnętrzne zasady oraz najlepsze praktyki dotyczące bezpieczeństwa danych i operacji na nich wykonywanych wymagają, aby dostęp do systemów informatycznych oraz uprawnienia użytkowników były tylko takie, jakie są w danej chwili konieczne. Dodatkowo ważne jest, aby wiedzieć, jacy użytkownicy posiadają uprawnienia do kluczowych operacji bądź ich kombinacji. Tym regułom podlega także niedawno wdrożony w firmie system SAP ERP. Zleciliśmy konsultantom BCC (aktualnie All for One Poland) przeprowadzenie audytu bezpieczeństwa systemu SAP, by sprawdzić i uregulować obecne autoryzacje użytkowników oraz określić grupę uprawnień krytycznych i tak zwaną macierz wykluczających się uprawnień. To był podstawowy cel audytu. Jednak to nie wszystko. Efektem działań konsultantów audytorów jest tych blisko 100-stronicowy raport zawierających wiele zaleceń dotyczących zarówno wewnętrznego, jak i zewnętrznego bezpieczeństwa systemu.
Przemysław Poppe, Dyrektor IT, AmRest, operatora KFC i Pizzy Hut
Wewnątrz organizacji dane zabezpieczane są poprzez konfigurowalny system uprawnień aplikacji. Zadaniem systemu uprawnień jest zapewnienie użytkownikom dostępu do odpowiednich danych.
Jednak równie ważnym jego zadaniem jest zadbanie, by nie mieli oni dostępu do danych i operacji, do których nie mają i nie powinni mieć autoryzacji. Istotną rolę odgrywa w tym przypadku matryca SoD (Segregation of Duties Matrix), czyli matryca wzajemnie wykluczających się uprawnień.
Tak szeroki zakres elementów, które należy wziąć pod uwagę, powoduje, że zapewnienie bezpieczeństwa systemu SAP nie jest rzeczą trywialną. Zwłaszcza przy dużej, różnorodnej i rozległej infrastrukturze IT.
W praktyce każdy z tych elementów potrzebuje odrębnych narzędzi wspierających bezpieczeństwo i kontrolę tego bezpieczeństwa. Szczególną rolę w całym mechanizmie ochrony pełnią regularne audyty pozwalające odkryć słabe punkty i zoptymalizować system zabezpieczeń.
SOSS w audycie
Audyty bezpieczeństwa mogą mieć różnorodny charakter i być ukierunkowanie na sprawdzenie różnych obszarów. Często ich celem jest przegląd procedur i procesów (czyli czy organizacja realizuje swoje zadania zgodnie z określonymi wcześniej zasadami i wytycznymi dotyczącymi bezpieczeństwa).
Innym obszarem, który podlega audytowi, są systemy i infrastruktura informatyczna (czyli np. realizowane są testy penetracyjne). W niektórych firmach audytowi podlegają różne obszary i ma on charakter mieszany.
W przypadku SAP ERP, ze względu na kluczową rolę, jaką ten system pełni, bezpieczeństwo i jego kontrola są nadzwyczaj istotne. Dlatego dla tego systemu najlepiej jest przeprowadzić audyt zarówno procedur, jak i procesów oraz dodatkowo audyt samej aplikacji.
Narzędziem, którym można się posłużyć podczas audytu, jest Security Optimization Self-Service (SOSS) dostępny w SAP Solution Manager. W całym audycie narzędzie to pełni rolę pomocniczą i jest wykorzystywane do sprawdzenia bezpieczeństwa aplikacji od strony BASIS (między innymi uprawnienia administracyjne, zarządzanie użytkownikami, hasła, uprawnienia do wydruku i drukarek, wykonywanie zadań w tle oraz zadań wsadowych i wiele innych).
SOSS można użyć także do sprawdzenia elementów związanych SAP ITS, J2EE oraz matrycy SoD (matrycę SoD buduje się indywidualnie dla danej organizacji; można się przy tym oprzeć na dobrych praktykach dostarczanych przez SAP AG oraz firmy konsultingowe wykonujące tego rodzaju usługi).
Ta część audytu może być realizowana zdalnie w zależności do tego, gdzie umiejscowiony jest SAP Solution Manager w stosunku do audytowanego systemu oraz gdzie znajduje się osoba audytująca.
Część audytu związana z kontrolą procesów i procedur wymaga wizyty w audytowanej organizacji. Audytor w trakcie wizyty zapoznaje się z dokumentacją oraz zdefiniowanymi regułami i zasadami. Na tej podstawie przeprowadza wywiady z osobami zaangażowanymi w realizację procesów i sprawdza dokumentację procesową oraz czy zdefiniowane w organizacji wytyczne są przestrzegane.
Sam audyt może zostać także ograniczony do jednego z wyżej opisanych elementów. Można na przykład zdalnie przeprowadzić samą sesję SOSS. A jeżeli organizacja posiada SAP Solution Managera, może w ograniczonej formie przeprowadzić taką sesję we własnym zakresie.
Sprawdzać, ale jak?
Planując przeprowadzenie audytu, na początku należy jasno ustalić jego cel. Jeżeli jest to audyt celowy, mający być przyczynkiem do poprawy pewnych wybranych elementów w funkcjonowaniu organizacji, najczęściej ma on charakter jednorazowy i wynika ze zmian strukturalnych bądź jest następstwem incydentu lub incydentów występujących w danej organizacji.
Bywa też tak, że audyt jest elementem polityki bezpieczeństwa bądź ogólnych zasad w niej obowiązujących. Najczęściej wtedy jest wykonywany cyklicznie (w dużych organizacjach nawet kilka razy w roku) i jego zakres jest dobierany tak, aby obejmował wszystkie elementy bezpieczeństwa organizacji.
Dla poprawy bezpieczeństwa
Wynikiem audytu jest raport pokazujący mocne i słabe strony zabezpieczeń oraz zalecenia, dzięki którym słabości można wyeliminować, a mocne punkty wzmocnić.
Regularnie przeprowadzane audyty pozwalają:
- zmniejszyć ryzyko niekontrolowanego dostępu oraz wycieku danych,
- zapewnić poufność danych biznesowych składowanych w systemie,
- zapewnić odpowiedni przydział uprawnień, zgodny z dobrymi praktykami,
- istotnie zmniejszyć ryzyko niedostępności procesu biznesowego bądź nawet całego systemu z powodu nieprawidłowej operacji wykonanej przez użytkownika,
- zapobiegać zdarzeniom łamiącym bezpieczeństwo i ochronę danych.