PL EN DE
Najlepsze praktyki zarządzania usługami SAP

Dedykowana organizacja serwisowa SNP zapewnia jakość i ciągłość obsługi kontraktów SAP Managed Services. Pracujemy w oparciu o standardy ISO 20000 i ISO 27001. Posiadamy certyfikat PCoE - SAP Partner Center of Expertise.

SNP Poland to lider rynku usług SAP w Polsce.
Zapewniamy pełen zakres wdrożeń, rozwoju i utrzymania systemów SAP. Dostarczamy usługi bezpieczeństwa IT i rozwoju oprogramowania. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP – wiodącego światowego dostawcy rozwiązań do transformacji środowisk SAP.

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Audyt bezpieczeństwa systemu SAP

SAP zawsze bezpieczny

Udostępnij
Drukuj:
Ze względu na znaczenie systemu SAP i przetwarzanych w nim danych audyt bezpieczeństwa SAP powinien być stałym elementem polityki utrzymania i rozwoju systemu. Warto przy tym skorzystać z narzędzia SOSS, dostępnego w ramach pakietu SAP Solution Manager.
 

W przedsiębiorstwach, w których wykorzystywany jest system SAP ERP, w większości przypadków pełni on rolę centralnego systemu informatycznego organizacji. Składowane są w nim i przetwarzane newralgiczne dane oraz wykonywane są kluczowe operacje biznesowe.

Dlatego utrata danych, niedostępność oraz niekontrolowany wyciek informacji przetrzymywanych w systemie może prowadzić do strat finansowych, utraty wiarygodności lub w najgorszym scenariuszu – do paraliżu działania przedsiębiorstwa pozbawionego np. indeksów materiałowych lub danych finansowych.

Z tego punktu widzenia zapewnienie bezpieczeństwa systemu SAP, czyli zapewnienie bezpieczeństwa danych, które są w nim składowane oraz przetwarzane, stanowi istotny element zarządzania systemem.

Bezpieczeństwo przede wszystkim

W rozważaniach o bezpieczeństwie należy wziąć pod uwagę dwa jego aspekty. Pierwszy to zabezpieczenie przed utratą danych i niedostępnością systemu. Podstawą jest tutaj Zarządzanie Ciągłością Działania (BCM – Business Continuity Management), w którego skład wchodzą między innymi Plany Ciągłości Działania (BCP – Business Continuity Plans) oraz Plany Odtwarzania Utraconych Zasobów (DRP – Disaster Recovery Plans).

Drugim ważnym aspektem związanym z bezpieczeństwem jest przede wszystkim ochrona danych przed niepowołanym dostępem. Tu z kolei wyróżniamy ochronę zewnętrzną i wewnętrzną. Z zewnątrz dane chronione są przez odpowiednią konfigurację infrastruktury IT, poczynając od sieci, poprzez system operacyjny, bazę danych po dostęp do samej aplikacji.

SAP pod kontrolą
Nasze wewnętrzne zasady oraz najlepsze praktyki dotyczące bezpieczeństwa danych i operacji na nich wykonywanych wymagają, aby dostęp do systemów informatycznych oraz uprawnienia użytkowników były tylko takie, jakie są w danej chwili konieczne. Dodatkowo ważne jest, aby wiedzieć, jacy użytkownicy posiadają uprawnienia do kluczowych operacji bądź ich kombinacji. Tym regułom podlega także niedawno wdrożony w firmie system SAP ERP. Zleciliśmy konsultantom BCC przeprowadzenie audytu bezpieczeństwa systemu SAP, by sprawdzić i uregulować obecne autoryzacje użytkowników oraz określić grupę uprawnień krytycznych i tak zwaną macierz wykluczających się uprawnień. To był podstawowy cel audytu. Jednak to nie wszystko. Efektem działań konsultantów audytorów jest tych blisko 100-stronicowy raport zawierających wiele zaleceń dotyczących zarówno wewnętrznego, jak i zewnętrznego bezpieczeństwa systemu.
Przemysław Poppe, Dyrektor IT, AmRest, operatora KFC i Pizzy Hut

Wewnątrz organizacji dane zabezpieczane są poprzez konfigurowalny system uprawnień aplikacji. Zadaniem systemu uprawnień jest zapewnienie użytkownikom dostępu do odpowiednich danych.

Jednak równie ważnym jego zadaniem jest zadbanie, by nie mieli oni dostępu do danych i operacji, do których nie mają i nie powinni mieć autoryzacji. Istotną rolę odgrywa w tym przypadku matryca SoD (Segregation of Duties Matrix), czyli matryca wzajemnie wykluczających się uprawnień.

Tak szeroki zakres elementów, które należy wziąć pod uwagę, powoduje, że zapewnienie bezpieczeństwa systemu SAP nie jest rzeczą trywialną. Zwłaszcza przy dużej, różnorodnej i rozległej infrastrukturze IT.

W praktyce każdy z tych elementów potrzebuje odrębnych narzędzi wspierających bezpieczeństwo i kontrolę tego bezpieczeństwa. Szczególną rolę w całym mechanizmie ochrony pełnią regularne audyty pozwalające odkryć słabe punkty i zoptymalizować system zabezpieczeń.

SOSS w audycie

Audyty bezpieczeństwa mogą mieć różnorodny charakter i być ukierunkowanie na sprawdzenie różnych obszarów. Często ich celem jest przegląd procedur i procesów (czyli czy organizacja realizuje swoje zadania zgodnie z określonymi wcześniej zasadami i wytycznymi dotyczącymi bezpieczeństwa).

Innym obszarem, który podlega audytowi, są systemy i infrastruktura informatyczna (czyli np. realizowane są testy penetracyjne). W niektórych firmach audytowi podlegają różne obszary i ma on charakter mieszany.

W przypadku SAP ERP, ze względu na kluczową rolę, jaką ten system pełni, bezpieczeństwo i jego kontrola są nadzwyczaj istotne. Dlatego dla tego systemu najlepiej jest przeprowadzić audyt zarówno procedur, jak i procesów oraz dodatkowo audyt samej aplikacji.

Narzędziem, którym można się posłużyć podczas audytu, jest Security Optimization Self-Service (SOSS) dostępny w SAP Solution Manager. W całym audycie narzędzie to pełni rolę pomocniczą i jest wykorzystywane do sprawdzenia bezpieczeństwa aplikacji od strony BASIS (między innymi uprawnienia administracyjne, zarządzanie użytkownikami, hasła, uprawnienia do wydruku i drukarek, wykonywanie zadań w tle oraz zadań wsadowych i wiele innych).

SOSS można użyć także do sprawdzenia elementów związanych SAP ITS, J2EE oraz matrycy SoD (matrycę SoD buduje się indywidualnie dla danej organizacji; można się przy tym oprzeć na dobrych praktykach dostarczanych przez SAP AG oraz firmy konsultingowe wykonujące tego rodzaju usługi).

Ta część audytu może być realizowana zdalnie w zależności do tego, gdzie umiejscowiony jest SAP Solution Manager w stosunku do audytowanego systemu oraz gdzie znajduje się osoba audytująca.

Część audytu związana z kontrolą procesów i procedur wymaga wizyty w audytowanej organizacji. Audytor w trakcie wizyty zapoznaje się z dokumentacją oraz zdefiniowanymi regułami i zasadami. Na tej podstawie przeprowadza wywiady z osobami zaangażowanymi w realizację procesów i sprawdza dokumentację procesową oraz czy zdefiniowane w organizacji wytyczne są przestrzegane.

Sam audyt może zostać także ograniczony do jednego z wyżej opisanych elementów. Można na przykład zdalnie przeprowadzić samą sesję SOSS. A jeżeli organizacja posiada SAP Solution Managera, może w ograniczonej formie przeprowadzić taką sesję we własnym zakresie.

Sprawdzać, ale jak?

Planując przeprowadzenie audytu, na początku należy jasno ustalić jego cel. Jeżeli jest to audyt celowy, mający być przyczynkiem do poprawy pewnych wybranych elementów w funkcjonowaniu organizacji, najczęściej ma on charakter jednorazowy i wynika ze zmian strukturalnych bądź jest następstwem incydentu lub incydentów występujących w danej organizacji.

Bywa też tak, że audyt jest elementem polityki bezpieczeństwa bądź ogólnych zasad w niej obowiązujących. Najczęściej wtedy jest wykonywany cyklicznie (w dużych organizacjach nawet kilka razy w roku) i jego zakres jest dobierany tak, aby obejmował wszystkie elementy bezpieczeństwa organizacji.

Dla poprawy bezpieczeństwa

Wynikiem audytu jest raport pokazujący mocne i słabe strony zabezpieczeń oraz zalecenia, dzięki którym słabości można wyeliminować, a mocne punkty wzmocnić.

Regularnie przeprowadzane audyty pozwalają:

  • zmniejszyć ryzyko niekontrolowanego dostępu oraz wycieku danych,
  • zapewnić poufność danych biznesowych składowanych w systemie,
  • zapewnić odpowiedni przydział uprawnień, zgodny z dobrymi praktykami,
  • istotnie zmniejszyć ryzyko niedostępności procesu biznesowego bądź nawet całego systemu z powodu nieprawidłowej operacji wykonanej przez użytkownika,
  • zapobiegać zdarzeniom łamiącym bezpieczeństwo i ochronę danych.

Lepszy Biznes

magazyn klientów SNP

Przejdź do bazy artykułów
Udostępnij
Drukuj:

Formularz kontaktowy





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Napisz maila lub zadzwoń

E-mail: office.pl@snpgroup.com
Tel. 61 827 7000

SNP Poland Sp. z o.o.

Centrala:
Złotniki, ul. Krzemowa 1
62-002 Suchy Las k. Poznania

Skontaktuj się z nami

W czym możemy pomóc?
Napisz do nas
Wyślij email
Zadzwoń





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Kontakt ogólny do firmy
office.pl@snpgroup.com

Pytania o produkty i usługi
info.pl@snpgroup.com

Pytania na temat pracy i staży
kariera@snpgroup.com

61 827 70 00

Biuro jest czynne
od poniedziałku do piątku
w godz. 8:00 – 17:00