Come controllare i dati che vengono esportati da SAP ECC?
Molti utenti devono essere formalmente autorizzati a farlo, fa parte del loro lavoro. È tuttavia fondamentale, soprattutto in ottica GDPR, controllare come e chi esporta eventuali dati in modo non autorizzato dal sistema SAP.
Come farlo? Vediamo alcuni metodi inclusi nella business suite SAP ed altri a pagamento.
SAP è un applicativo i cui dati sono archiviati in un database. Questi possono essere acceduti direttamente oppure utilizzano le transazioni SAP.
Esistono molte modalità per esportare i dati.
Di seguito alcune tra le principali:
Ognuna delle modalità sopra può rappresentare, in termini di sicurezza del dato, una possibilità di data leakage. Quali sono quindi i modi per evitare o controllare la perdita/fuga dei dati? Quali tecniche di Data Loss Prevention possono essere utilizzate?
SAP mette a disposizione diversi strumenti per il controllo dell’esportazione dei dati (28777 - PC download: Logging, authorization check).
Alcuni nativi e già presenti da molti anni (i primi dalla release 3.0C) all’interno delle soluzioni, altri più recenti, altri ancora a pagamento.
Perché è importante proteggere i dati aziendali? Scoprilo qui!
Partiamo dalle basi, l’oggetto autorizzativo S_GUI.
Questo oggetto autorizzativo (disponibile dalla release 4.0 di SAP) permette di abilitare o disabilitare l’export dei dati da SAP. Questo oggetto interviene se si stanno utilizzando le transazioni standard o custom (dove previsto).
L’oggetto prevede le seguenti attività
Attenzione, in alcuni casi è possibile da customizing disattivare il controllo di questo oggetto, come descritto nella nota OSS 979917 - S_GUI authorization check needs to be disabled, la tabella SDOKPROF permette infatti di disabilitare il controllo autorizzativo nelle funzioni del GOS Generic Object Service ovvero il pulsante per la gestione degli allegati alle transazioni (es. allego un PDF all’ordine di acquisto).
Anche la SAP GUI permette di proteggere le azioni svolte in lettura o scrittura di dati verso il client, approfondisci qui (SAP GUI Rules).
Dati personali da proteggere? Inizia dal nostro corso in e-learning per capire come impostare le attività!
Come è possibile tracciare ciò che viene esportato da SAP? Uno dei modi può essere quello di attivare il SAP Security Audit Log andando a tracciare l’evento di esportazione dei dati.
Tramite l’attivazione dello strumento standard SAP chiamato SAP Security Audit Log (dalla release SAP_BASIS 731) è possibile individuare chi ha esportato dati tramite le funzionalità standard SAP di esportazione.
L’immagine sopra mostra un estratto del security audit log (transazioni SM20N), nella riga di colore giallo è possibile vedere che l’utente MMANARA attraverso la transazione SE16 ha esportato il contenuto o parte del contenuto della tabella PA0008 (contenente i dati retribuitivi del personale in un sistema HR), vedi colonna “Program”.
Tramite l’audit log è inoltre possibile vedere le chiamate RFC effettuate, ad esempio per intercettare eventi di chiamata tramite function RFC_READ_TABLE.
È possibile inoltre, attraverso l’enhancement 'SGRPDL00', avere la possibilità di inserire parti di codice personalizzato per effettuare dei controlli aggiuntivi o azioni di logging specifiche.
Leggi qui come configurare il SAP Security Audit Log.
Così come nella parte SAP classica esiste un enhancement specifico, anche per la parte HR è possibile sfruttare questa medesima funzionalità: HRPC0001.
I meccanismi standard visti in precedenza non possono essere di aiuto. È possibile valutare l’applicazione della nota OSS 997201 - ALV export: Exit during authority check per controllare la funzionalità di copia ed incolla dei dati. Anche se non è possibile proteggersi dal print screen dello schermo!
Sì, esistono strumenti ulteriori per controllare l’accesso anche in sola lettura dei dati alcuni di questi sono tuttavia a pagamento: