Perché è importante sapere quali sono le utenze tecniche utilizzate nei sistemi SAP e conoscere le credenziali di queste utenze particolari?
Ti sei mai chiesto se qualcuno le sta usando impropriamente? Tremi all'idea di cambiare le password a queste utenze perché sai che rischi qualche blocco nei processi aziendali?
Ma come dovrebbero essere gestiti questi aspetti?
Esistono diverse tipologie di utenze tecniche in SAP, ne abbiamo già parlato in questo articolo "SAP System User naming convention".
Uno dei "problemi" comuni, soprattutto dopo un progetto è quello di risalire alle credenziali usate nel momento di creazione dell'utenza da parte di un partner o system integrator. È normale infatti che durante un progetto si debbano creare utenze tecniche.
Ma per quale motivo questo rappresenta un problema?
Ipotizziamo uno dei casi peggiori, ovvero quello di aver subito un attacco informatico.
Ricordo infatti un caso realmente accaduto dove un cliente aveva rinvenuto, grazie a degli strumenti di ricerca nel web che permettono di capire se dati aziendali sono presenti in maniera pubblica in rete, ad esempio ricercando "@nome società.com" dei propri dati.
Nel caso specifico erano le credenziali di un database HANA di un sistema produttivo (globale). Pubblicate erroneamente da un fornitore.
In questo potrebbe essere necessario dover fare una rotazione delle credenziali di alcuni accessi. Anche le tempistiche con le quali questa rotazione avviene sono importanti.
L'impatto sopra può inoltre cambiare se queste utenze hanno determinate abilitazioni o meno. Ad esempio, se by default, queste utenze hanno SAP_ALL (ovvero il profilo che contiene tutti gli oggetti autorizzativi SAP con valore asterisco, ovvero la possibilità di svolgere qualsiasi azione)
Quale profilazione devono avere? Nel contesto ABAP ne abbiamo già parlato qui "Utenze di sistema con SAP_ALL, no grazie!"