3 suggerimenti sulla sicurezza delle stampanti in SAP

Posted by Gabriella Massimi on Feb 1, 2019 12:00:00 AM

 

Tutti gli utenti del tuo sistema hanno la transazione SP01?

Stampe SAP sicurezza

 

Davvero permetti a tutte le utenze SAP di vedere cosa stampano tutti gli utenti? Le stampe potrebbero contenere dei dati personali (GDPR), dati riservati? Forse è meglio controllare!

 

1) Cosa permette di fare la transazione SP01?

 

La transazione SP01 permette di visualizzare lo spool di stampa di SAP. Lo spool di stampa è una zona dove vengono archiviate le stampe che un utente effettua da SAP prima di essere stampate fisicamente.

 

A differenza della transazione SP02, che permette di vedere solamente le proprie stampe, la SP01 permette di vedere le stampe di tutti gli utenti.

 

Se nello stesso sistema SAP ERP usi anche HR, un utente qualsiasi potrebbe vedere la stampa di documenti riservati (es. cedolini, o altri dati HR riservati). È chiaramente possibile vedere inoltre le stampe generate da utenti tecnici (es. di sistema). Spesso infatti esistono dei job che generano degli spool tramite utenze tecniche.

 

2) È davvero un rischio?

Può essere un rischio molto alto anche se la sola transazione SP01 potrebbe non permettere davvero di visualizzare tutti gli spool.

 

Come per la maggior parte delle transazioni SAP, il fatto di possedere una transazione non significa poterla eseguire con tutte le sue funzionalità. Infatti, oltre all’oggetto autorizzativo tecnico S_TCODE (che protegge in SAP l’avvio delle transazioni) è necessario avere una serie di ulteriori oggetti autorizzativi per poter vedere il contenuto degli spool di stampa.

Gli oggetti autorizzativi legati alle stampe sono i seguenti:

  • S_SPO_ACT – Limitazione delle attività negli spool
  • S_SPO_DEV – Limitazione dei device di stampa, se gestiti in SAP
  • S_ADMI_FCD con i valori SPOR ed SP01

Nel caso in cui gli oggetti sopra siano presenti, un utente è in grado di visualizzare tutti gli spool tramite la transazione SP01.

 

Attenzione se abiliti la transazione SP01 in un ruolo che non ha gli oggetti sopra, un certo utente potrebbe riceverli da altri ruoli. In SAP le autorizzazioni si sommano!

 

 

 

3) Come fare per evitare il problema e da dove è probabilmente nato?

 

  • Spesso durante le implementazioni di SAP i consulenti suggeriscono l’uso della transazione SP01. Per chi fa supporto o per chi effettua un progetto, questo può essere corretto. Tuttavia, agli utenti finali non dovrebbe essere rilasciata o mostrata questa funzionalità. Questo comporta spesso una abitudine all’utilizzo, anche per finalità legittime difficile da scardinare.
    • Rimuovi la transazione SP01 da tutte le utenze ed assegnala solo a chi realmente potrebbe averne bisogno. 
    • Rilascia ed avvisa gli utenti di utilizzare la transazione SP02 in sostituzione della SP01, vedi anche come costruire un ruolo di base SAP
    • Se alcuni utenti devono vedere lo spool di altre persone puoi rilasciare la transazione SP01 in modo che sia possibile vedere lo spool di più persone (questi ultimi potranno anche classificare le informazioni sensibile e non sensibili, vedi nota OSS Note 158487 - How can one user view the spool requests of other users
SAP SPOOL AUTHORIZATION

 

Topics: pfcg, gdpr, ruoli, SAP HR, SPOOL

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti