sap security sicurezza audit sap sod tools
DESCRIPTION
SAP Security Audit Sod automated security sap assessment audit systemTRANSCRIPT
![Page 1: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/1.jpg)
1 11
![Page 2: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/2.jpg)
2 22Security Analyzer27/11/2007
La società
§ Aglea nasce nel 2003 come società specializzata nella gestione degli utenti e delle autorizzazioni del mondo SAP
§ E’ parte del gruppo APL Italiana s.p.a., proprietario del software “SOFIA”® (gestore di portafogli titoli Banche e Assicurazioni)
§ Opera direttamente o a fianco dei principali System Integrator
![Page 3: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/3.jpg)
3 33Security Analyzer27/11/2007
Le competenze
§ I FOCUS:§ Consulenza§ Realizzazione progetti di Security SAP§ Nuove implementazioni§ Revisioni tramite RBE (Reverse Business Engineering)
§ Migrazioni di Release delle autorizzazioni§ Auditing§ Sarbanes Oxley – Segregation of Duties
§ Software§ Security Analyzer
![Page 4: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/4.jpg)
4 44Security Analyzer27/11/2007
Referenze
§ Aglea ha lavorato per
§ Poste Italiane§ Banca d’Italia§ Carlo Erba Reagenti§ Powertrain§ Fiat Auto§ Sonepar / Elettroingross§ Sanofi / Aventis
§ Bayer§ Pirelli§ Edison§ AEM§ Metzelzer§ Alcantara§ Agie Charmilles
![Page 5: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/5.jpg)
5 55Security Analyzer27/11/2007
Security Analyzer
§ Security Analyzer (S.A.) è l’applicazione che gestisce la Security applicativa – ovvero utenti e autorizzazioni - di un sistema SAP
§ E’ composta da due parti:§ 2 report ABAP che scaricano da SAP le informazioni§ un’applicazione Microsoft Access che importa ed
elabora
§ S.A. è compatibile con sistemi SAP a partire dalla release 4.6 di R/3
![Page 6: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/6.jpg)
6 66Security Analyzer27/11/2007
Punti di forza
§ S.A. :§ è personalizzabile. Ciò significa che può essere adattato a
specifiche esigenze del cliente§ permette di incrociare le autorizzazioni con le statistiche,
anche nella analisi SOD§ contiene già una matrice SOD di rischi (basata su
transazioni SAP R/3)§ effettua speciali analisi che aiutano a individuare le “non
conformità” di utilizzo del profile generator§ è molto veloce da installare ed utilizzare§ permette di fare analisi retroattive§ è interamente sviluppato da Aglea, che opera
esclusivamente nella consulenza della security SAP
![Page 7: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/7.jpg)
7 77Security Analyzer27/11/2007
Security Analyzer
§ Dopo aver installato i due report ABAP nel sistema da analizzare, il processo di documentazione e di analisi èmolto semplice:
§ Estrazione dei dati da SAP (53 tabelle + statistiche di utilizzo) e posizionamento in una directory
§ Creazione (una tantum) di un progetto in S.A. e personalizzazione di alcune impostazioni
§ Importazione dei dati in S.A.§ Generazione dei report necessari§ Effettuazione di analisi più specifiche:§ analisi sulle autorizzazioni (una SUIM più potente)§ analisi della SOD su base transazionale
![Page 8: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/8.jpg)
8 88Security Analyzer27/11/2007
Definizione di un progetto
La prima azione è la creazione di un progetto
Ad esso corrisponde un mandante di un sistema SAP
S.A. può tenere in linea i dati di un solo sistema alla volta
![Page 9: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/9.jpg)
9 99Security Analyzer27/11/2007
Definizione di un progetto
Maschera nella quale è possibile specificare gli attributi specifici del progetto
![Page 10: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/10.jpg)
101010Security Analyzer27/11/2007
Importazione
Rapida importazione (circa 15 minuti) dei dati esportati da SAP
E’ possibile importare anche solo alcune tabelle, divise per argomento
Un apposito LOG fornisce informazioni utili sugli eventuali problemi sorti durante l’importazione
![Page 11: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/11.jpg)
111111Security Analyzer27/11/2007
Reportistica
Maschera per l’apertura degli output
E’ possibile :
• ottenere una query da esportare in Excel
• salvare direttamente in formato xls
• stampare in formato report (PDF), scegliendo tra gli oltre 70 modelli attualmente presenti
![Page 12: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/12.jpg)
121212Security Analyzer27/11/2007
Reportistica
![Page 13: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/13.jpg)
131313Security Analyzer27/11/2007
Analisi organizzativa
Nel caso sia implementato lo scenario HR, è possibile analizzare off-line la struttura organizzativa
Sono disponibili specifiche informazioni e funzioni non reperibili direttamente da SAP
![Page 14: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/14.jpg)
141414Security Analyzer27/11/2007
Indicatori
Le principali informazioni della Security sono riassunte in un’unica schermata.
Con essa è possibile supervisionare lo stato di salute del sistema in pochi minuti
![Page 15: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/15.jpg)
151515Security Analyzer27/11/2007
Auditing
Nell’AUDIT è possibile fare analisi mirate su oggetti di autorizzazione
Si possono creare diversi AUDIT escludendo dalle analisi eventuali utenti bloccati o con SAP_ALL e SAP_NEW
![Page 16: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/16.jpg)
161616Security Analyzer27/11/2007
Auditing
Nel dettaglio sono specificati l’oggetto interessato e i valori da ricercare
E’ possibile inserire fino a 3 valori in “OR”.
![Page 17: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/17.jpg)
171717Security Analyzer27/11/2007
SOD Analysis
![Page 18: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/18.jpg)
181818Security Analyzer27/11/2007
SOD Analysis
5. Le transazioni statistiche utilizzate. Questa funzione permette di intervenire tempestivamente sui rischi reali e successivamente su quelli potenziali
E’ inoltre possibile generare un’ulteriore matrice SOD basata sui Job Roles.
L’analisi SOD può essere effettuata su 5 oggetti SAP:
1. Il ruolo composto (Job Role)
2. Il ruolo semplice (Task), esaminando le transazione del menu
3. Il ruolo semplice (Task), esaminando le autorizzazioni su S_TCODE4. Le autorizzazioni assegnate all’utente (User). In questo caso, se un utente ha
una autorizzazione su S_TCODE con range o asterischi, vengono comunque individuate tutte le transazioni corrispondenti
![Page 19: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/19.jpg)
191919Security Analyzer27/11/2007
SOD Analysis
L’analisi SOD può essere effettuata anche tramite simulazione.E’ infatti possibile:§ inserire nuovi ruoli (con transazioni)§ aggiungere transazioni a ruoli già esistenti§ inserire legami utenti / ruoli virtualie infine:§ analizzare i risultati SOD senza modificare il sistema SAP
![Page 20: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/20.jpg)
202020Security Analyzer27/11/2007
SOD Analysis
Maschera indicante le transazioni in una duty e la composizione di un rischio
![Page 21: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/21.jpg)
212121Security Analyzer27/11/2007
SOD Analysis
![Page 22: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/22.jpg)
222222Security Analyzer27/11/2007
SOD Analysis
![Page 23: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/23.jpg)
232323Security Analyzer27/11/2007
SOD Analysis
![Page 24: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/24.jpg)
242424Security Analyzer27/11/2007
Mapper
§ La funzione mapper permette di trovare il miglior set di ruoli (scelti da una lista di “candidati”) da assegnare ad un utente in base alle sua statistiche
![Page 25: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/25.jpg)
252525Security Analyzer27/11/2007
Versione
![Page 26: Sap Security Sicurezza Audit Sap Sod Tools](https://reader030.vdocumenti.com/reader030/viewer/2022012313/557590ccd8b42ae7708b4eac/html5/thumbnails/26.jpg)
262626Security Analyzer27/11/2007
Rilascio del prodotto
§ S.A. viene fornito con un canone annuale di licenza d’uso§ Nel canone sono compresi eventuali sviluppi
successivi e il supporto ordinario del prodotto§ La messa in opera del software è di circa 4 gg (di
cui 2 di training)§ S.A. è protetto da chiave hardware USB§ S.A. può essere rilasciato in versione Runtime
Access§ Gira su Microsoft Windows Vista ©