Bezpečnost dat v prostředí SAP. Leoš Černý KPMG Česká republika

Podobné dokumenty
Workshop SAP GRC AC Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o.

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

Workshop SAP GRC AC Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o.

Zvýšení kvality IA s využitím nových technologií: Představení řešení IDEA - SymSure pro CCM

OBSAH. Nasazení standardního podnikového informačního systému 9. Přehled komponent systému SAP 13. Úvod do používání systému SAP 31

10. setkání interních auditorů v oblasti průmyslu

Akční plán AP3 : Optimalizace organizační struktury

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost

Procesní dokumentace Process Management. Pavel Čejka

Zadávací dokumentace

Vnitřní kontrolní systém a jeho audit

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

Výuka SAP-FI TUL Liberec

Více než 60 novinek, změn a vylepšení

SAP R/3 Školení Přehled

Reportingová platforma v České spořitelně

Risk management a Interní audit

WORKFLOW. Procesní přístup. Základ perspektivního úspěšného podnikového řízení. Funkčnířízení založené na dělbě práce

Konference Standardizace agend přenesené působnosti a měření jejich výkonnosti

Workshop SAP GRC AC Úvod do problematiky Petr Stejskal, CONSIT s.r.o.

Identity Manager 4. Poskytujte okamžitý přístup ke zdrojům v rámci celého podniku

2. setkání IA ze zdravotních pojišťoven. Rizikové oblasti zdravotních pojišťoven z pohledu externího auditora

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,

SAP PROCUREMENT DAY 2013

Zhodnocení architektury podniku. Jiří Mach

ZMĚNY V DATABÁZI A SOUVISEJÍCÍ POLOŽKY S APLIKACÍ ESHOP...

PROCESY CO ZÍSKÁTE: Předpoklad pro certifikace ISO. Lean Six Sigma Fast Track

PAVEZA &EVEZA PRODUKTOVÉ PORTFOLIO ELEKTRONICKÝCH NÁSTROJŮ PRO SPRÁVU VEŘEJNÝCH ZAKÁZEK

Identity Management centralizovaná správa uživatelů

Manažerské shrnutí projektu

ORACLE ŘÍZENÍ FINANCÍ

2. setkání interních auditorů ze zdravotních pojišťoven

Obsah. Předmluva KAPITOLA 1 Úvod do programu Microsoft Dynamics NAV KAPITOLA 2 Základy ovládání...33

Sazebník bankovních poplatků pro podnikatele

Custom Code Management. Přechod na S/4HANA

PAVEZA & EVEZA. software pro správu veřejných zakázek PAVEZA & EVEZA

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

NABÍDKA PRÁCE ÚČETNÍ

REPORTING. Příručka pro Partnery a zákazníky -1-

1. Integrační koncept

Elektromobilita nejsou jen vozidla na elektřinu

Data nejsou odpad, data jsou zlato!

Představení výsledků projektu. Implementace procesního modelu s využitím ADONIS na Městském úřadě Prostějov

Důležité změny ve verzi vydané po Poradna (CZ)

KATALOG SLUŽEB NÁSLEDNÉ PODPORY

Obsah. Rozsah implementovaného řešení

12. Setkání IA z oblasti průmyslu, obchodu a služeb Dva pohledy na audit nákupu

Uživatelská příručka aplikace Partner24 modul POS ( Point of Sale )

SW pro správu a řízení bezpečnosti

Směrnice k finanční kontrole

Podrobná analýza k aktivitě č. 3 - implementace procesního řízení do praxe úřadu

SAP SuccessFactors. Employee Central

Hodnocení monitorovacích informačních systémů Regionálního operačního programu NUTS II Severovýchod

Ondřej Bothe, Richard Dobiš

Sjednocení dohledových systémů a CMDB

KATALOG ŘEŠENÍ ELVAC SOLUTIONS

ADVANTA / Dokumentace: Přehled funkčních modulů

Charta služeb. Marketingová strategie a propagace charty. Jak užívat chartu ke zlepšení služeb

ČESKÁ TECHNICKÁ NORMA

SAP S/4HANA BEST PRACTICE PRO CZ

Řešení ochrany databázových dat

Struktura Pre-auditní zprávy

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Milníky CAFM v ČSOB. I. Fáze Realizace BASE SAP + SAP REM Archibus:

Novell Identity Management. Jaromír Látal Datron, a.s.

Digitální identita Moderní přístup k identifikaci klienta. Pavel Šiška, Štěpán Húsek, Deloitte Digital - Technology Services

SAP PROCUREMENT DAY SAP CLM (Contract Lifecycle Management) Správa životního cyklu kontraktů. smooth business flow

Facility management pro všechny

Kvalita a správa dat Data Quality

Zpráva o činnosti a výstupech interního auditu ČT

Vyzýváme Vás k podání nabídky na veřejnou zakázku malého rozsahu s názvem E-shop pro Centrální nákup Plzeňského kraje.

Elektronická fakturace - chytře a ekonomicky na faktury Pohled ze strany společnosti Synthesia

Vývoj postavení účetních v TCI ( )

Pravidla řízení Projektu Zvýšení kvality řízení a poskytovaných služeb MÚ Moravská Třebová

PRODEJ Prodej je pochopitelně základní funkcí pokladního systému. Systému MERCATOR umožňuje prodej realizovat ve 3 režimech:

MVS a Knihovny.cz jak to vzniklo, proč a kde jsme Jednání Sekce pro služby, SDRUK Národní knihovna

Rizika na liberalizovaném trhu s elektřinou

Jan Horák. Pilíře řešení

Aplikace modelu CAF 2006 za podpory procesního řízení. Ing. Vlastimil Pecka Ing. Zdeněk Havelka, PhD.

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Řízení správy rolí v rozsáhlých organizacích. Michal Opatřil Corinex Group

Workflow, definice, charakteristika, trendy

Evidence výstrojního materiálu v prostředí IS SAP. Jíří Jezdinský / Miloslav Šulc

Retail Summit 2008 Technologie které mohou pomáhat

SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

Novinky v oblasti účetnictví. Ladislav Kukla, 8. listopadu 2016

Využití EPM 2013 pro podporu řízení projektů - Případová studie

Řešení potřeb veřejné správy pomocí velkých i malých BI systémů. Tomáš Jindřich Pavel Bobkov

Předmluva 17. Stručný úvod 17 Cílová skupina 18 Cvičení a řešení 18 Poděkování 19 Zpětná vazba od čtenářů 19 Errata 19

Bolesti a přínosy. Ing. J. Skorkovský, CSc. pro ESF MU

OBEC BLATNICE. Vnitřní směrnice č.2/2015. Směrnice k finanční kontrole. Obsah směrnice

Jak připravit podnikový controlling a ABC Multidimenzionální vyhodnocování ziskovosti

Výzva k podání nabídky

Využití IT nástrojů pro měření a řízení výkonnosti. Michal Kroutil

Problémové domény a jejich charakteristiky

SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON

Příloha č. 2 ke smlouvě. Rozsah a podmínky provozní podpory

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Obratová předvaha. Platby. Pohledávky. Účty. Upomínky. Otevřené pozice. >TimeLine finanční účetnictví Mini Účetní evidence//

Transkript:

Bezpečnost dat v prostředí SAP Leoš Černý KPMG Česká republika

Proč je složité nastavit bezpečné prostředí v SAP? Komplexní IT prostředí lze provozovat bezpečně pouze v případě, pokud jsou identifikována rizika a hrozby a přijata příslušná bezpečnostní opatření. Protože SAP řešení je velmi komplexní, lze narazit na potíže již při definování bezpečnostních pravidel. Tyto potíže mohou způsobit: Různorodé požadavky na funkcionalitu napříč všemi aspekty business procesů. Požadavek na jednoduchý přístup k informacím. Požadavek na flexibilitu systému vyvolává potřebu zahrnout právní, účetní a business požadavky ve více než 100 zemích světa (např. účtování, nákupní objednávky nebo zakázky). Složitou organizační strukturu mnoha společností a skupin, která vyvolává potřebu oddělit přístup na úrovni společnosti, divize či nákladového střediska. Dalšími důvody jsou: Přizpůsobení organizační struktuře bezpečnost v prostředí SAP je relativně složitá a v průběhu implementace je nutné zohlednit přizpůsobení SAP rolí potřebám organizace. Většina společností selže právě v této fázi. Odpor ke změně manažeři často neberou vážně potřebu změny rolí a profilů a tím i odpovědností. Často ponechají silný přístup na úkor bezpečnosti svých vlastních dat. IT oddělení vyžaduje neomezený přístup IT oddělení je většinou poměrně resistentní k vývoji specifických rolí a často přiděluje silný přístup, a to i v produkčním prostředí. Jsou potřeba speciální nástroje a procesy jako např. pro řízení oddělení pravomocí a odpovědností a jejich následnou kontrolu. Komplexní prostředí jednoduché vysvětlení: V SAP pracujeme s cca < 10 000 transakcemi a objekty. 2

Proč je složité nastavit bezpečné prostředí v SAP? Základní model řešení SAP bezpečnosti: SAP využívá tzv. object-based nastavení bezpečnosti. V SAP funkcionalitě je více jak 1000 kontrolních bodů, které kontrolují autorizační objekty a jejich definici. Interakce této funkcionality a business požadavků se obecně nazývá autorizační koncept. User User ID: JDOE Functional Role USER ADMINISTRATOR SAP Role A Z:MAINT_USR SAP Role B Z:ASGN_ROL SAP Profile A Z:MAINT_USR SAP Profile B Z:ASGN_ROL SAP Auth A1: Object: S_TCODE Field 1: TCD Value 1: SU01 SAP Auth A1: Object: S_USER_GRP Field 1: ACTVT Value 1: 01, 02, 03, 06, 22 Field 2: BCLASS Value 2: ENDUSER SAP Auth B1: Object: S_TCODE Field 1: TCD Value 1: PFCG SAP Auth B1: Object: S_USER_AGR Field 1: ACTVT Value 1: 02, 03, 22 Field 2: AGR_NAME Value 2: Z* SAP Auth B1: Object: S_USER_PRO Field 1: ACTVT Value 1: 03, 22 Field 2: PROFILE Value 2: Z* SAP Auth B1: Object: S_USER_AUT Field 1: ACTVT Value 1: 03 Field 2: OBJECT Value 2: * Field 3: AUTH Value 3: * 3

Základní oblasti SAP Bezpečnosti SoD a kompenzační kontroly Parametry pro SAP účty Silné SAP účty Silné a citlivé oprávnění v SAP Řízení přístupu SAP Role a jejich vývoj

SoD a kompenzační kontroly V rámci SoD a kompenzační kontroly je třeba se zaměřit na: Definování matice SoD Např. oprávnění změnit kmenová data dodavatele a zároveň proplatit fakturu Definovat procesy, které umožní zhodnotit přiřazení rolí před tím, než jsou přiděleny uživatelům Nastavení SAP bezpečnosti zodpovídá IT a ostatní specializovaná oddělení hranice není úplně přesná. Objednat zboží, přijmout a zaplatit fakturu Analýzu SoD na úroveň autorizačních objektů a kompenzačních kontrol Aktualizaci seznamu nově připravených transakcí (custom transakcí) Kvalitu kompenzačních kontrol v případě identifikovaného SoD konfliktu Připravu SAP rolí, které akceptují SOD a jsou v souladu s organizační strukturou

Parametry pro SAP účty Pro nastavení parametrů SAP účtů je třeba zohlednit následující: Samozřejmostí je správně nastavená politika hesel Nestandardní dialogové účty např. servisní, RFC či jiné technické účty Silné SAP účty tzv. standardní vždy zamčené Ponechání hesla pro uživatele SAP*, DDIC Temporary dočasně alokované účty jak z technických, tak z procesních důvodů Účty pro vzdálený přístup z jiné sítě Účty pro cestující uživatele a třetí strany Základní bezpečnostní parametry pro řízení uživatelských účtů v SAP např. jmenná konvence, politika hesel, používané typy uživatelských účtů

Silné SAP účty Silné SAP účty: Umožňují nadstandardní operace v SAP s omezenou možností monitoringu a kontroly účty jsou určené jen pro řešení závažných problémů je nutná kontrola nad jejich užíváním a přidělováním Jedná se jednak o standard SAP účty, tak o specifická oprávnění navržená např. pro konverzi dat nebo customizaci systému Silné SAP účty vždy zamčené Např. uživatelé SAP*, EarlyWatch a DDIC

Silná SAP oprávnění a citlivé transakce v SAP Silné SAP role a profily: Vybraní uživatelé (zejména IT) mají část přístupu, který umožňuje jak administraci systému, ale i vlastní práci, která je v gesci běžných zaměstnanců Vývoj dostatečně silných rolí a vhodných kompenzačních kontrol Zajistit, že IT uživatelé nebudou mít přístup k business transakcím Kontrola oprávnění k citlivým transakcím v SAP Např. autorizace pro zúčtování a/nebo zrušení faktury editace bankovních účtů, generování platebního příkazu přístup k SAP reportům a jejich editace přístup k SAP tabulkám Zaměřit se na přístupová oprávnění těchto silných uživatelů Zhodnotit efektivitu kompenzačních kontrol Kontrola silných SAP oprávnění (silné SAP role a účty) Profily SAP_ALL, S_A*, SAP_NEW

Řízení přístupu Pro nastavení parametrů SAP účtů je třeba zohlednit následující: Přidělování oprávnění a řízení změn v přístupech v SAP procesní zajištění Definované role nebo skupiny rolí na jednotlivé pozice Dočasné / Temporary účty skutečně přidělovat na dobu omezenou SSO vs SAP GUI přístup a nastavení hesla pro přístup Oprávnění poskytnutá non-dialog účtům, například servise účtům Pravidelná revize citlivých oprávnění např. možnost přístupu do SAP tabulek, job scheduling nebo citlivé business transakce např. platební příkaz, možnost měnit čísla bankovních účtů

SAP Role a jejich vývoj Při správě SAP rolí je třeba zohlednit následující: Kontrola nad procesem změn nebo vývojem SAP rolí je základ pro bezpečnost dat v SAP systému Nekontrolované změny v SAP rolích mohou způsobit narušení celého autorizačního konceptu i nastavení bezpečnosti SAP Nastavení vnitřních bezpečnostních procesů společnosti Standardizované změnové řízení vyžadující autorizaci změn před uvolněním do produkčního prostředí Změny a přidání SAP transakcí Nové naprogramované transakce a autorizační objekty Nové role by měly projít testem na citlivé transakce a testem na SOD Kontrola firemních politik, procedur a bezpečnostních standardů

Možnost analýzy dat v SAP Vyšší efektivita Základní kroky analýzy dat Redukce duplicitních prací Širší možnost identifikovat a napravit chyby Užití automatizace Korekce chyb Monitorování nedostatků a jejich předcházení či odstranění Automatická prevence podvodů Včasné informace Redukce překvapivých zjištění Zvýšená rychlost předání informací auditorům a businessu Příprava a definice KPI Zahájení Definice přístupu, rozsahu, harmonogramu, cílů a plánování Plán získání dat Prověření SAP prostředí a rozsahu Technická příprava Definice potřebných SAP tabulek a reportů Získání dat Získání dat Extrakce relevantníc h informací ze systému SAP Uložení dat na relevantním úložišti Spuštění dohodnutých reportů a metrik (podle stanovených KPI) Příprava reportů Analýza a zpracování dat Analýza dat Analýza a zhodnocení identifikovan ých trendů Ověření prvních výsledků s vedením společnosti Analýza procesů prostřednictvím interview s vlastníky procesů a vedením společnosti Identifikace prostoru pro zlepšení Reporting Sestavení reportu včetně výstupu z analýzy dat a doporučení pro zlepšení Ověření reportu s odpovědným managemente m Finalizace reportu Vytvoření plánu dalších kroků

Možnost analýzy dat v SAP Manuální změny vystavených faktur Jednorázový zákazník Jednorázový dodavatel Manuální účtování do deníku Změny v skladové evidenci, analýza skladových pohybů Aging pohledávek Změna platebních podmínek Neaktivní účty hlavní knihy Analýza skladových pohybů prostřednictvím MIGO transakce

Bezpečnost systému SAP - shrnutí Analýza SOD a kompenzačních kontrol Např. oprávnění změnit kmenová data dodavatele a zároveň proplatit fakturu Kvalita kompenzačních kontrol v případě identifikovaného SoD konfliktu Základní bezpečnostní parametry pro řízení uživatelských účtů v SAP (např. jmenná konvence, politika hesel, používané typy uživatelských účtů) Ponechání hesla pro uživatele SAP*, DDIC Využívání non-dialog účtů pro běžnou práci Kontrola silných SAP oprávnění (silné SAP role a účty) Uživatelé SAP*, EarlyWatch a DDIC Profily SAP_ALL, S_A*, a SAP_NEW Kontrola oprávnění k citlivým transakcím v SAP Např. autorizace pro zúčtování a/nebo zrušení faktury, editace bankovních účtů, generování platebního příkazu, přístup k SAP reportům a jejich editace, přístup k SAP tabulkám Kontrola firemních politik, procedur a bezpečnostních standardů Nastavení vnitřních bezpečnostních procesů společnosti Standardizované změnové řízení vyžadující autorizaci změn před uvolněním do produkčního prostředí

Děkujeme za pozornost. Leoš Černý KPMG Česká republika lcerny@kpmg.cz 16. února 2011? PROSTOR PRO OTÁZKY

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář