SAP Security Checklist, 14 punti

Posted by Roberto Alessio on May 12, 2021 8:15:00 AM
Roberto Alessio

Ti è mai capitato di fare un go-live SAP? Può andare tutto liscio oppure possono esserci alcune difficoltà più o meno gravi.

 

checklist

 

Uno degli aspetti che contribuiscono a fare in modo che vada tutto per il meglio è arrivare preparati. In che modo?

 

Tramite la check list go-live SAP specifica per la parte security! 

1. Le utenze sono state definite nel sistema di produzione?

  • Quale naming convention è stata scelta? Questo è un punto che spesso viene dato per scontato ma non è così. Abbiamo scritto diversi articoli sull’argomento nel nostro blog.
  • Credenziali. OK, le utenze sono state create, ma come viene gestita la distribuzione delle credenziali, nel caso non ci siano meccanismi di Single Sing On. Per tutti la stessa password oppure ogni utente ha la sua password inziale? Meglio la seconda opzione, ma senza improvvisare.

2) Menu utenti

Se nella parte della SAP GUI è sicuramente un aspetto importante, nella parte SAP FIORI è fondamentale progettare un menù che sia utile ed ottimizzato per gli utenti

 

3) Segregazione dei ruoli

A livello transazionale o APP oppure anche organizzativa? Possono esserci diversi livelli di complessità in un modello autorizzativo. È difficile trovare realtà con una sola società o senza la necessità di segregare ulteriormente sul dopo transazione o APP.

 

Almeno a livello di funzionalità è necessario fare qualcosa in questo senso. Così come, se serve, introdurre delle segregazioni sul dominio dati (società, divisioni etcc). L’hai fatto?

 

Segregazione non organizzativa è stata gestita? Segregare le figure professionali per dominio dati organizzativo, spesso non è sufficiente, alcuni aspetti come ad esempio le strategie di rilascio negli acquisiti oppure le tipologie documenti devono essere gestite. Tutto pronto?

 

4. Gli aspetti custom

Possono essere un problema. Le funzionalità custom come sono state assegnate e gestite? Sono state segregate attraverso appositi oggetti autorizzativi? Meglio un doppio controllo.

 

 

 

5. Segregation Of Duties

non obbligatoria per tutti certo, anche se consigliata. Ma è stato fatto il controllo sulla SoD a livello di ruoli ed utenti?

 

Guarda qui come conviene affrontarla!

 

Parte 1:

 

Parte 2:

 

6. Oggetti critici SAP

In SAP esistono oggetti critici che potrebbero finire in ruoli per utenti finali, erroneamente. Hai controllato che questi siano nel posto giusto? Verifica oggi per avere un problema in meno domani!

 

7. Sicurezza del sistema

Non solo gli aspetti autorizzativi devono essere presidiati, tutti i profili di istanza SAP sono stati gestiti? Ad esempio il logging e trace delle tabelle, la complessità password, la gestione RFC e così via, non sottovalutare questa parte. Ha pieno titolo di essere presidiata.

 

 

8. Database e sistema operativo

Non dimenticarteli per nessun motivo. Crittografia e gestione degli accessi sicuri come parola d’ordine.

 

9. Utenze tecniche

Le utenze di sistema/tecniche sono profilate correttamente? Evita di assegnare profili ampi se non serve.

 

10. Patch security

Patch security e di sistema sono state installate? Meglio fare una verifica con i sistemisti. Farlo prima non comporta rischi, parti bene.

 

11. Documentazione

Documentazione del modello autorizzativo e linee guida SAP Security sono presenti? Si rimanda sempre a dopo. Il rischio è che il dopo si trasformi in mai.

 

12. Processi Security

Processi dell’operatività SAP security e SOD sono stati definiti? Chi deve fare cosa e quando è stato stabilito?

 

13. Controlli periodici

Controlli periodici e strumenti di controllo sono stati definiti? Un conto è implementare un altro aspetto è verificare che sia tutto così, anche nel day by day

 

14. Manualistica

Manuali per utenti finali ad esempio su come eseguire la transazione per riportare gli errori autorizzativi, la SU53, sono stati definiti? È stato definito un sistema e modello di ticketing?

 

Attenzione la lista non finisce qui, quante altre particolarità possono essere presenti? Molte e soprattutto non solo tecniche, forse le più ostiche da gestire.

 

Scrivi nei commenti se ne manca qualcuna o cosa pensi sia utile aggiungere.

 

Iscriviti ora al canale YouTube AGLEA!

 

Topics: sap security checklist

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutte