SAST w swoim pakiecie posiada zdefiniowane mechanizmy dotyczące kontroli SoD. Zasady te oparte są na standardach weryfikacji stosowanych przez wiodące firmy audytorskie. Tym samym obejmują wszystkie niezbędne wymogi monitorowania. Jednak każdy z klientów korzystający z SAST może również dostosować swoje wewnętrzne wymogi i zaimplementować do swojej matrycy.

W dzisiejszym artykule omówimy czym jest SoD i jak wzmocnić jego kontrolę w organizacji na przykładzie konfliktu uprawnień na poziomie BASIS

Czym jest SoD?

 

Segregation of Duties – rozdział obowiązków oznaczający, że niektóre zadania w ramach danego procesu biznesowego nie powinny być wykonywane przez tę samą osobę lub jednostkę organizacyjną zgodnie z:

  • Przepisami prawnymi
  • Zaleceniami audytu
  • Konieczność ochrony danych pod kątem wykorzystania przez odpowiednie działy

SAST Authorization Management oraz SAST Risk and Compliace Management pozwala nam na przygotowanie matrycy konfliktów uprawnień nie tylko na poziomie transakcji ale również mamy możliwość dodania zależnych obiektów autoryzacyjnych.

Posłużmy się przykładowym konfliktem uprawnień na poziomie BASIS, gdzie użytkownicy mogą zarządzać użytkownikami i jednocześnie modyfikować role w systemie SAP.

 

PRZYKŁAD KONFLIKTU NA POZIOMIE BASIS

 

1. Definiujemy krytyczne autoryzacje dla procesu BC_AUTH_ADMIN

Każda z krytycznych autoryzacji posiada unikalny identyfikator (Authorization ID).

Listę Authorization ID przedstawia tabela.

Każda krytyczna autoryzacja definiuje zależne transakcje oraz autoryzacje.

  • BC_PROFILE_CHANGE – BC-USR – create/maintain/generate profiles

  • BC_ROLE_CREATE – BC-USR – Profile Generator create roles SAST BC_ROLE_CREATE
  • BC_ROLE_UPD_OR_GEN – BC-USR – Profile Generator roles change/generate

  • BC_TCD_AUTH_SWITCH_O – AUTH_SWITCH_OBJECTS: Deaktivate authorization objects

  • BC_TCD_CRM_ROLE_COPI – Role Copier (Portal Administration)

  • BC_TCD_CRM_ROLE_MAP – Admin Tools: Role Mappings Adder

  • BC_TCD_SU03 – SU03: Maintain Authorizations

  • BC_TCD_SU20 – SU20: Maintain Authorization Fields

  • BC_TCD_SU21 – SU21: Maintain Authorization Objects

  • BC_TCD_SU22 – SU22: Modify Authorization Object Check for Transactions

  • BC_TCD_SU24 – SU24: Auth. Obj. Check Under Transactions

  • BC_TCD_SU25 – SU25: Upgrade Tool for Profile Generator

  • BC_TCD_SU26 – SU26: Upgrade Tool for Profile Generator

  • BC_TCD_SUPC – SUPC: Role Profiles

2. Definiujemy krytyczne autoryzacje dla procesu BC_USER_ADMIN

Każda z krytycznych autoryzacji posiada unikalny identyfikator (Authorization ID).

Listę Authorization ID przedstawia tabela.

konflikt uprawnień_blog_sast_polska

Każda krytyczna autoryzacja definiuje zależne transakcje oraz autoryzacje.

  • BC_TCD_EWZ5 – BC: User lock and unlock with EUR-tools

  • BC_TCD_EWZ6 – BC: User lock and unlock with EUR-tools

  • BC_TCD_SU01 – Administration of User master Data

  • BC_TCD_SU01_PW – BC-USR – V_T681F: RevAccDeter – Allowed Flds

  • BC_TCD_SU01_PW_SUPER – BC-USR – User Maintenance

  • BC_TCD_SU10 – SU10: User Mass Maintenance

  • BC_TCD_SU12 – SU12: Mass Changes to User Master Records

  • BC_USER_CHANGE_RFC – BC-USR – Create or change user via RFC (Group SUSK)

  • BC_USER_CHANGE_RFC_2 – BC-USR – Create or change user via RFC (Group SU_USER)

3. Opisujemy powstały konflikt, który będziemy mogli dodać do matrycy uprawnień SoD

konflikty uprawnień_3_blog_sast polska

4. Przygotowujemy opis ryzyka, gdzie zawarty jest m.in. identyfikator, poziom krytyczności, tytuł, przyczyna powstania ryzyka

konflikty uprawnień_4 blog sast polska

PODSUMOWANIE

W celu usunięcia konfliktu SoD w roli należy wyeliminować jeden proces.
Rola musi być zmodyfikowana na tyle aby z jednego procesu pozbyć się transakcji oraz zależnych obiektów autoryzacji.

Narzędzie dostarczane przez Akquinet jakim jest SAST pomaga klientom wzmocnić kontrolę SoD w swojej organizacji. Produkt ten pozwala wykrywać, analizować, monitorować oraz budować ryzyka.
Automatyzuje kontrolę dostępu do krytycznych transakcji zawartych w rolach systemu SAP.

 

Autor: Marek /Sast Team Polska/