Ecco perché è importante controllare come vengono esportati e da chi sono diffusi
Come controllare i dati che vengono esportati da SAP ECC?
Molti utenti devono essere formalmente autorizzati a farlo, fa parte del loro lavoro. È tuttavia fondamentale, soprattutto in ottica GDPR, controllare come e chi esporta eventuali dati in modo non autorizzato dal sistema SAP.
Come farlo? Vediamo alcuni metodi inclusi nella business suite SAP ed altri a pagamento.
Quali sono i modi per esportare dati da SAP?
SAP è un applicativo i cui dati sono archiviati in un database. Questi possono essere acceduti direttamente oppure utilizzano le transazioni SAP.
Esistono molte modalità per esportare i dati.
Di seguito alcune tra le principali:
- Tramite l’utilizzo di transazioni SE16, SE11 o analoghe. Per esportare direttamente il contenuto di una tabella del database. Ad esempio, l’anagrafica dei clienti definita in SAP
- Tramite l’utilizzo di funzionalità di esportazione presenti nelle transazioni standard
- Tramite l’utilizzo di function RFC esposte da SAP. Ad esempio, la function RFC_READ_TABLE
- Tramite l’utilizzo di un programma custom costruito ad hoc per esportare dati da SAP
Ognuna delle modalità sopra può rappresentare, in termini di sicurezza del dato, una possibilità di data leakage. Quali sono quindi i modi per evitare o controllare la perdita/fuga dei dati? Quali tecniche di Data Loss Prevention possono essere utilizzate?
SAP mette a disposizione diversi strumenti per il controllo dell’esportazione dei dati (28777 - PC download: Logging, authorization check).
Alcuni nativi e già presenti da molti anni (i primi dalla release 3.0C) all’interno delle soluzioni, altri più recenti, altri ancora a pagamento.
Perché è importante proteggere i dati aziendali? Scoprilo qui!
Partiamo dalle basi, l’oggetto autorizzativo S_GUI.
S_GUI
Questo oggetto autorizzativo (disponibile dalla release 4.0 di SAP) permette di abilitare o disabilitare l’export dei dati da SAP. Questo oggetto interviene se si stanno utilizzando le transazioni standard o custom (dove previsto).
L’oggetto prevede le seguenti attività
- 02 -> Copiare i dati nel clipboard
- 61 -> Esportare i dati da SAP
- 60 -> importare dati
Attenzione, in alcuni casi è possibile da customizing disattivare il controllo di questo oggetto, come descritto nella nota OSS 979917 - S_GUI authorization check needs to be disabled, la tabella SDOKPROF permette infatti di disabilitare il controllo autorizzativo nelle funzioni del GOS Generic Object Service ovvero il pulsante per la gestione degli allegati alle transazioni (es. allego un PDF all’ordine di acquisto).
Anche la SAP GUI permette di proteggere le azioni svolte in lettura o scrittura di dati verso il client, approfondisci qui (SAP GUI Rules).
Dati personali da proteggere? Inizia dal nostro corso in e-learning per capire come impostare le attività!
SAP Security Audit Log
Come è possibile tracciare ciò che viene esportato da SAP? Uno dei modi può essere quello di attivare il SAP Security Audit Log andando a tracciare l’evento di esportazione dei dati.
Tramite l’attivazione dello strumento standard SAP chiamato SAP Security Audit Log (dalla release SAP_BASIS 731) è possibile individuare chi ha esportato dati tramite le funzionalità standard SAP di esportazione.
L’immagine sopra mostra un estratto del security audit log (transazioni SM20N), nella riga di colore giallo è possibile vedere che l’utente MMANARA attraverso la transazione SE16 ha esportato il contenuto o parte del contenuto della tabella PA0008 (contenente i dati retribuitivi del personale in un sistema HR), vedi colonna “Program”.
Tramite l’audit log è inoltre possibile vedere le chiamate RFC effettuate, ad esempio per intercettare eventi di chiamata tramite function RFC_READ_TABLE.
È possibile inoltre, attraverso l’enhancement 'SGRPDL00', avere la possibilità di inserire parti di codice personalizzato per effettuare dei controlli aggiuntivi o azioni di logging specifiche.
Leggi qui come configurare il SAP Security Audit Log.
Nella parte HR è presente qualche funzionalità specifica?
Così come nella parte SAP classica esiste un enhancement specifico, anche per la parte HR è possibile sfruttare questa medesima funzionalità: HRPC0001.
Per il copia ed incolla dei dati è possibile proteggerlo in qualche modo?
I meccanismi standard visti in precedenza non possono essere di aiuto. È possibile valutare l’applicazione della nota OSS 997201 - ALV export: Exit during authority check per controllare la funzionalità di copia ed incolla dei dati. Anche se non è possibile proteggersi dal print screen dello schermo!
Esistono altri modi? Anche per le utenze non di dialogo
Sì, esistono strumenti ulteriori per controllare l’accesso anche in sola lettura dei dati alcuni di questi sono tuttavia a pagamento:
- SAP RAL Read Access Log (incluso nella suite SAP), transazione SRALMANAGER, disponibile dalla release di SAP Netweaver 7.01 (SP15)
- SAP Field Masking (questo a pagamento, formato da due moduli)
- UI Logging
- UI Masking