Come esportare dati da SAP?

Posted by Massimo Manara on Dec 10, 2018 8:25:00 AM
Massimo Manara
Find me on:
LinkedIn

Ecco perché è importante controllare come vengono esportati e da chi sono diffusi

 

Data Protection

Come controllare i dati che vengono esportati da SAP ECC?

 

Molti utenti devono essere formalmente autorizzati a farlo, fa parte del loro lavoro. È tuttavia fondamentale, soprattutto in ottica GDPR, controllare come e chi esporta eventuali dati in modo non autorizzato dal sistema SAP.

 

Come farlo? Vediamo alcuni metodi inclusi nella business suite SAP ed altri a pagamento.

 

Quali sono i modi per esportare dati da SAP?

SAP è un applicativo i cui dati sono archiviati in un database. Questi possono essere acceduti direttamente oppure utilizzano le transazioni SAP.

 

Esistono molte modalità per esportare i dati.

 

Di seguito alcune tra le principali:

  • Tramite l’utilizzo di transazioni SE16, SE11 o analoghe. Per esportare direttamente il contenuto di una tabella del database. Ad esempio, l’anagrafica dei clienti definita in SAP
  • Tramite l’utilizzo di funzionalità di esportazione presenti nelle transazioni standard
  • Tramite l’utilizzo di function RFC esposte da SAP. Ad esempio, la function RFC_READ_TABLE
  • Tramite l’utilizzo di un programma custom costruito ad hoc per esportare dati da SAP

 

Ognuna delle modalità sopra può rappresentare, in termini di sicurezza del dato, una possibilità di data leakage. Quali sono quindi i modi per evitare o controllare la perdita/fuga dei dati? Quali tecniche di Data Loss Prevention possono essere utilizzate?

 

SAP mette a disposizione diversi strumenti per il controllo dell’esportazione dei dati (28777 - PC download: Logging, authorization check).

 

Alcuni nativi e già presenti da molti anni (i primi dalla release 3.0C) all’interno delle soluzioni, altri più recenti, altri ancora a pagamento.

 

Perché è importante proteggere i dati aziendali? Scoprilo qui!

 

Partiamo dalle basi, l’oggetto autorizzativo S_GUI.

S_GUI

Questo oggetto autorizzativo (disponibile dalla release 4.0 di SAP) permette di abilitare o disabilitare l’export dei dati da SAP. Questo oggetto interviene se si stanno utilizzando le transazioni standard o custom (dove previsto).

 

L’oggetto prevede le seguenti attività

  • 02 -> Copiare i dati nel clipboard
  • 61 -> Esportare i dati da SAP
  • 60 -> importare dati

 

Attenzione, in alcuni casi è possibile da customizing disattivare il controllo di questo oggetto, come descritto nella nota OSS 979917 - S_GUI authorization check needs to be disabled, la tabella SDOKPROF permette infatti di disabilitare il controllo autorizzativo nelle funzioni del GOS Generic Object Service ovvero il pulsante per la gestione degli allegati alle transazioni (es. allego un PDF all’ordine di acquisto).

 

Anche la SAP GUI permette di proteggere le azioni svolte in lettura o scrittura di dati verso il client, approfondisci qui (SAP GUI Rules).

 

Dati personali da proteggere? Inizia dal nostro corso in e-learning per capire come impostare le attività!

 

SAP Security Audit Log

Come è possibile tracciare ciò che viene esportato da SAP? Uno dei modi può essere quello di attivare il SAP Security Audit Log andando a tracciare l’evento di esportazione dei dati.

Tramite l’attivazione dello strumento standard SAP chiamato SAP Security Audit Log (dalla release SAP_BASIS 731) è possibile individuare chi ha esportato dati tramite le funzionalità standard SAP di esportazione.

 

SAP Security Audit Log

L’immagine sopra mostra un estratto del security audit log (transazioni SM20N), nella riga di colore giallo è possibile vedere che l’utente MMANARA attraverso la transazione SE16 ha esportato il contenuto o parte del contenuto della tabella PA0008 (contenente i dati retribuitivi del personale in un sistema HR), vedi colonna “Program”.

 

Tramite l’audit log è inoltre possibile vedere le chiamate RFC effettuate, ad esempio per intercettare eventi di chiamata tramite function RFC_READ_TABLE.

 

È possibile inoltre, attraverso l’enhancement 'SGRPDL00', avere la possibilità di inserire parti di codice personalizzato per effettuare dei controlli aggiuntivi o azioni di logging specifiche.

 

Leggi qui come configurare il SAP Security Audit Log.

 

Nella parte HR è presente qualche funzionalità specifica?

 

Così come nella parte SAP classica esiste un enhancement specifico, anche per la parte HR è possibile sfruttare questa medesima funzionalità: HRPC0001.

 

 

Per il copia ed incolla dei dati è possibile proteggerlo in qualche modo?

 

I meccanismi standard visti in precedenza non possono essere di aiuto. È possibile valutare l’applicazione della nota OSS 997201 - ALV export: Exit during authority check per controllare la funzionalità di copia ed incolla dei dati. Anche se non è possibile proteggersi dal print screen dello schermo!

 

Esistono altri modi? Anche per le utenze non di dialogo

 

Sì, esistono strumenti ulteriori per controllare l’accesso anche in sola lettura dei dati alcuni di questi sono tuttavia a pagamento:

 Iscriviti al blog se ancora non lo hai fatto!

 

Topics: SAP Security, SAP ECC, SAP HR, gdpr, UI Masking, security audit log, UI logging

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy