Sap Security Sicurezza Audit Sap Sod Tools

2 22Security Analyzer27/11/2007

La società

§ Aglea nasce nel 2003 come società specializzata nella gestione degli utenti e delle autorizzazioni del mondo SAP

§ E’ parte del gruppo APL Italiana s.p.a., proprietario del software “SOFIA”® (gestore di portafogli titoli Banche e Assicurazioni)

§ Opera direttamente o a fianco dei principali System Integrator


Le competenze

§ I FOCUS:§ Consulenza§ Realizzazione progetti di Security SAP§ Nuove implementazioni§ Revisioni tramite RBE (Reverse Business Engineering)

§ Migrazioni di Release delle autorizzazioni§ Auditing§ Sarbanes Oxley – Segregation of Duties

§ Software§ Security Analyzer


Referenze

§ Aglea ha lavorato per

§ Poste Italiane§ Banca d’Italia§ Carlo Erba Reagenti§ Powertrain§ Fiat Auto§ Sonepar / Elettroingross§ Sanofi / Aventis

§ Bayer§ Pirelli§ Edison§ AEM§ Metzelzer§ Alcantara§ Agie Charmilles


Security Analyzer

§ Security Analyzer (S.A.) è l’applicazione che gestisce la Security applicativa – ovvero utenti e autorizzazioni - di un sistema SAP

§ E’ composta da due parti:§ 2 report ABAP che scaricano da SAP le informazioni§ un’applicazione Microsoft Access che importa ed

elabora

§ S.A. è compatibile con sistemi SAP a partire dalla release 4.6 di R/3


Punti di forza

§ S.A. :§ è personalizzabile. Ciò significa che può essere adattato a

specifiche esigenze del cliente§ permette di incrociare le autorizzazioni con le statistiche,

anche nella analisi SOD§ contiene già una matrice SOD di rischi (basata su

transazioni SAP R/3)§ effettua speciali analisi che aiutano a individuare le “non

conformità” di utilizzo del profile generator§ è molto veloce da installare ed utilizzare§ permette di fare analisi retroattive§ è interamente sviluppato da Aglea, che opera

esclusivamente nella consulenza della security SAP


Security Analyzer

§ Dopo aver installato i due report ABAP nel sistema da analizzare, il processo di documentazione e di analisi èmolto semplice:

§ Estrazione dei dati da SAP (53 tabelle + statistiche di utilizzo) e posizionamento in una directory

§ Creazione (una tantum) di un progetto in S.A. e personalizzazione di alcune impostazioni

§ Importazione dei dati in S.A.§ Generazione dei report necessari§ Effettuazione di analisi più specifiche:§ analisi sulle autorizzazioni (una SUIM più potente)§ analisi della SOD su base transazionale


Definizione di un progetto

La prima azione è la creazione di un progetto

Ad esso corrisponde un mandante di un sistema SAP

S.A. può tenere in linea i dati di un solo sistema alla volta


Definizione di un progetto

Maschera nella quale è possibile specificare gli attributi specifici del progetto

101010Security Analyzer27/11/2007

Importazione

Rapida importazione (circa 15 minuti) dei dati esportati da SAP

E’ possibile importare anche solo alcune tabelle, divise per argomento

Un apposito LOG fornisce informazioni utili sugli eventuali problemi sorti durante l’importazione


Reportistica

Maschera per l’apertura degli output

E’ possibile :

• ottenere una query da esportare in Excel

• salvare direttamente in formato xls

• stampare in formato report (PDF), scegliendo tra gli oltre 70 modelli attualmente presenti


Reportistica


Analisi organizzativa

Nel caso sia implementato lo scenario HR, è possibile analizzare off-line la struttura organizzativa

Sono disponibili specifiche informazioni e funzioni non reperibili direttamente da SAP


Indicatori

Le principali informazioni della Security sono riassunte in un’unica schermata.

Con essa è possibile supervisionare lo stato di salute del sistema in pochi minuti


Auditing

Nell’AUDIT è possibile fare analisi mirate su oggetti di autorizzazione

Si possono creare diversi AUDIT escludendo dalle analisi eventuali utenti bloccati o con SAP_ALL e SAP_NEW


Auditing

Nel dettaglio sono specificati l’oggetto interessato e i valori da ricercare

E’ possibile inserire fino a 3 valori in “OR”.


SOD Analysis


SOD Analysis

5. Le transazioni statistiche utilizzate. Questa funzione permette di intervenire tempestivamente sui rischi reali e successivamente su quelli potenziali

E’ inoltre possibile generare un’ulteriore matrice SOD basata sui Job Roles.

L’analisi SOD può essere effettuata su 5 oggetti SAP:

1. Il ruolo composto (Job Role)

2. Il ruolo semplice (Task), esaminando le transazione del menu

3. Il ruolo semplice (Task), esaminando le autorizzazioni su S_TCODE4. Le autorizzazioni assegnate all’utente (User). In questo caso, se un utente ha

una autorizzazione su S_TCODE con range o asterischi, vengono comunque individuate tutte le transazioni corrispondenti


SOD Analysis

L’analisi SOD può essere effettuata anche tramite simulazione.E’ infatti possibile:§ inserire nuovi ruoli (con transazioni)§ aggiungere transazioni a ruoli già esistenti§ inserire legami utenti / ruoli virtualie infine:§ analizzare i risultati SOD senza modificare il sistema SAP


SOD Analysis

Maschera indicante le transazioni in una duty e la composizione di un rischio


SOD Analysis


Mapper

§ La funzione mapper permette di trovare il miglior set di ruoli (scelti da una lista di “candidati”) da assegnare ad un utente in base alle sua statistiche


Versione


Rilascio del prodotto

§ S.A. viene fornito con un canone annuale di licenza d’uso§ Nel canone sono compresi eventuali sviluppi

successivi e il supporto ordinario del prodotto§ La messa in opera del software è di circa 4 gg (di

cui 2 di training)§ S.A. è protetto da chiave hardware USB§ S.A. può essere rilasciato in versione Runtime

Access§ Gira su Microsoft Windows Vista ©

Sap Security Sicurezza Audit Sap Sod Tools

Technology

Transcript of Sap Security Sicurezza Audit Sap Sod Tools