Sap Security Sicurezza Audit Sap Sod Tools
-
Upload
massimo-manara -
Category
Technology
-
view
1.337 -
download
1
description
Transcript of Sap Security Sicurezza Audit Sap Sod Tools
1 11
2 22Security Analyzer27/11/2007
La società
§ Aglea nasce nel 2003 come società specializzata nella gestione degli utenti e delle autorizzazioni del mondo SAP
§ E’ parte del gruppo APL Italiana s.p.a., proprietario del software “SOFIA”® (gestore di portafogli titoli Banche e Assicurazioni)
§ Opera direttamente o a fianco dei principali System Integrator
3 33Security Analyzer27/11/2007
Le competenze
§ I FOCUS:§ Consulenza§ Realizzazione progetti di Security SAP§ Nuove implementazioni§ Revisioni tramite RBE (Reverse Business Engineering)
§ Migrazioni di Release delle autorizzazioni§ Auditing§ Sarbanes Oxley – Segregation of Duties
§ Software§ Security Analyzer
4 44Security Analyzer27/11/2007
Referenze
§ Aglea ha lavorato per
§ Poste Italiane§ Banca d’Italia§ Carlo Erba Reagenti§ Powertrain§ Fiat Auto§ Sonepar / Elettroingross§ Sanofi / Aventis
§ Bayer§ Pirelli§ Edison§ AEM§ Metzelzer§ Alcantara§ Agie Charmilles
5 55Security Analyzer27/11/2007
Security Analyzer
§ Security Analyzer (S.A.) è l’applicazione che gestisce la Security applicativa – ovvero utenti e autorizzazioni - di un sistema SAP
§ E’ composta da due parti:§ 2 report ABAP che scaricano da SAP le informazioni§ un’applicazione Microsoft Access che importa ed
elabora
§ S.A. è compatibile con sistemi SAP a partire dalla release 4.6 di R/3
6 66Security Analyzer27/11/2007
Punti di forza
§ S.A. :§ è personalizzabile. Ciò significa che può essere adattato a
specifiche esigenze del cliente§ permette di incrociare le autorizzazioni con le statistiche,
anche nella analisi SOD§ contiene già una matrice SOD di rischi (basata su
transazioni SAP R/3)§ effettua speciali analisi che aiutano a individuare le “non
conformità” di utilizzo del profile generator§ è molto veloce da installare ed utilizzare§ permette di fare analisi retroattive§ è interamente sviluppato da Aglea, che opera
esclusivamente nella consulenza della security SAP
7 77Security Analyzer27/11/2007
Security Analyzer
§ Dopo aver installato i due report ABAP nel sistema da analizzare, il processo di documentazione e di analisi èmolto semplice:
§ Estrazione dei dati da SAP (53 tabelle + statistiche di utilizzo) e posizionamento in una directory
§ Creazione (una tantum) di un progetto in S.A. e personalizzazione di alcune impostazioni
§ Importazione dei dati in S.A.§ Generazione dei report necessari§ Effettuazione di analisi più specifiche:§ analisi sulle autorizzazioni (una SUIM più potente)§ analisi della SOD su base transazionale
8 88Security Analyzer27/11/2007
Definizione di un progetto
La prima azione è la creazione di un progetto
Ad esso corrisponde un mandante di un sistema SAP
S.A. può tenere in linea i dati di un solo sistema alla volta
9 99Security Analyzer27/11/2007
Definizione di un progetto
Maschera nella quale è possibile specificare gli attributi specifici del progetto
101010Security Analyzer27/11/2007
Importazione
Rapida importazione (circa 15 minuti) dei dati esportati da SAP
E’ possibile importare anche solo alcune tabelle, divise per argomento
Un apposito LOG fornisce informazioni utili sugli eventuali problemi sorti durante l’importazione
111111Security Analyzer27/11/2007
Reportistica
Maschera per l’apertura degli output
E’ possibile :
• ottenere una query da esportare in Excel
• salvare direttamente in formato xls
• stampare in formato report (PDF), scegliendo tra gli oltre 70 modelli attualmente presenti
121212Security Analyzer27/11/2007
Reportistica
131313Security Analyzer27/11/2007
Analisi organizzativa
Nel caso sia implementato lo scenario HR, è possibile analizzare off-line la struttura organizzativa
Sono disponibili specifiche informazioni e funzioni non reperibili direttamente da SAP
141414Security Analyzer27/11/2007
Indicatori
Le principali informazioni della Security sono riassunte in un’unica schermata.
Con essa è possibile supervisionare lo stato di salute del sistema in pochi minuti
151515Security Analyzer27/11/2007
Auditing
Nell’AUDIT è possibile fare analisi mirate su oggetti di autorizzazione
Si possono creare diversi AUDIT escludendo dalle analisi eventuali utenti bloccati o con SAP_ALL e SAP_NEW
161616Security Analyzer27/11/2007
Auditing
Nel dettaglio sono specificati l’oggetto interessato e i valori da ricercare
E’ possibile inserire fino a 3 valori in “OR”.
171717Security Analyzer27/11/2007
SOD Analysis
181818Security Analyzer27/11/2007
SOD Analysis
5. Le transazioni statistiche utilizzate. Questa funzione permette di intervenire tempestivamente sui rischi reali e successivamente su quelli potenziali
E’ inoltre possibile generare un’ulteriore matrice SOD basata sui Job Roles.
L’analisi SOD può essere effettuata su 5 oggetti SAP:
1. Il ruolo composto (Job Role)
2. Il ruolo semplice (Task), esaminando le transazione del menu
3. Il ruolo semplice (Task), esaminando le autorizzazioni su S_TCODE4. Le autorizzazioni assegnate all’utente (User). In questo caso, se un utente ha
una autorizzazione su S_TCODE con range o asterischi, vengono comunque individuate tutte le transazioni corrispondenti
191919Security Analyzer27/11/2007
SOD Analysis
L’analisi SOD può essere effettuata anche tramite simulazione.E’ infatti possibile:§ inserire nuovi ruoli (con transazioni)§ aggiungere transazioni a ruoli già esistenti§ inserire legami utenti / ruoli virtualie infine:§ analizzare i risultati SOD senza modificare il sistema SAP
202020Security Analyzer27/11/2007
SOD Analysis
Maschera indicante le transazioni in una duty e la composizione di un rischio
212121Security Analyzer27/11/2007
SOD Analysis
222222Security Analyzer27/11/2007
SOD Analysis
232323Security Analyzer27/11/2007
SOD Analysis
242424Security Analyzer27/11/2007
Mapper
§ La funzione mapper permette di trovare il miglior set di ruoli (scelti da una lista di “candidati”) da assegnare ad un utente in base alle sua statistiche
252525Security Analyzer27/11/2007
Versione
262626Security Analyzer27/11/2007
Rilascio del prodotto
§ S.A. viene fornito con un canone annuale di licenza d’uso§ Nel canone sono compresi eventuali sviluppi
successivi e il supporto ordinario del prodotto§ La messa in opera del software è di circa 4 gg (di
cui 2 di training)§ S.A. è protetto da chiave hardware USB§ S.A. può essere rilasciato in versione Runtime
Access§ Gira su Microsoft Windows Vista ©