AGLEA SAP Security Blog

RPA Robotic Process Automation - RPA SAP Security

Scritto da Massimo Manara | Nov 26, 2019 11:00:00 PM

Cosa significa RPA?

Si tratta di un acronimo Robotic Process Automation. Ovvero dei software che permettono di automatizzare dei compiti ripetitivi. Simulando il comportamento di un operatore possono eseguire in maniera ripetitiva le attività.

 

 

In quali processi SAP potrebbero essere utilizzati? Ad esempio:

  • Gestione amministrativa dei fornitori
  • Gestione amministrativa dei clienti
  • Gestione di alcuni processi relativi alle risorse umane

 

Ci sono dei rischi security?

L'utilizzo degli RPA di fatto equivale alla definizione di utenze tali e quali ad utenti reali. Proprio perché devono simulare le attività come un essere umano.

 

Devono essere quindi applicate le stesse considerazioni di sicurezza di utenti reali così come gli aspetti di auditing.

 

Ma cosa conviene capire e valutare?

Quali sono gli aspetti di dettaglio da tenere in considerazione?

  • La tipologia dell'utenza
  • La gestione delle credenziali di accesso es. password
  • Le abilitazioni ed autorizzazioni
  • La gestione della Segregation Of Duties
  • Gli aspetti tecnici ovvero SAP GUI Scripting

 

La tipologia dell'utenza

Esistono diverse tipologie di utenti in SAP:

  • A - Di dialogo, viene utilizzata per tutti gli utenti finali che devono accedere a SAP. Può effettuare un logon interattivo, è soggetta a scadenza password, non può fare logon multipli (come da contratto SAP, questo dipende da un settaggio di sistema), è soggetta a scadenza password (in questo caso dipende da un settaggio di sistema SAP)
  • S - Servizio, è una tipologia di utenza interattiva, non è soggetta a scadenza password e può effettuare logon multipli, nonostante la configurazione del sistema sia configurata per fare scadere la password in certi intervalli temporali e sia inibito il logon multiplo degli utenti
  • B - Sistema, è una tipologia di utenza non interattiva, non è soggetta a scadenza password
  • C - Comunicazione, è una tipologia non interattiva, soggetta a scadenza password, senza la possibilità di pianificare dei job periodici. Si tratta di una tipologia di utenza obsoleta per SAP
  • L - Riferimento, in questo caso viene utilizzata come riferimento appunto durante la creazione di altre utenze, oppure per superare il limite tecnico dei 312 profili in SAP, leggi qui

In base al software utilizzato per gestire la RPA potrebbe essere necessario definire una utenza interattiva o non interattiva.

 

Attenzione, la definizione di utenze di tipo dialogo comporta il pagamento di licenze SAP. Leggi qui come ottimizzare le licenze SAP.

 

La gestione delle credenziali di accesso a SAP

Nel caso in cui sia presente una autenticazione basata su password, questa ultima non dovrebbe essere salvata negli script RPA.

 

Dovrebbe essere definito un password manager all'interno dello strumento per la storicizzazione sicura delle credenziali di accesso ai sistemi. In alternativa applicata una logica di autenticazione non basta sulle credenziali.

 

Abilitazioni ed autorizzazioni SAP

Così come nel caso di utenti finali, anche nel caso di utenze RPA, le autorizzazioni SAP devono essere definite.

 

In questo caso simulando il comportamento dell'utente, le autorizzazioni SAP vengono definite utilizzando i medesimi strumenti di profilazione SAP già presenti.

 

RPA Segregation Of Duties

Si tratta di utenze tecniche, ma anche in questo caso dovrebbero essere profilate per evitare dei rischi di separazione dei compiti (SoD) all'interno dei prodotti SAP.

 

SAP GUI Scripting

La simulazione delle attività svolte da un operatore da parte degli strumenti RPA può avvenire in diversi modi. Uno di questi è il SAP GUI Scripting.

 

Si tratta di una interfaccia che permette di registrare le attività svolte dall'utente. Come se fosse una macro in excel, per intenderci.

 

L'operatore effettua le attività a sistema e tutte le attività che svolge sono registrate per rendere automatizzabile ciò che ha svolto.

L'attivazione del SAP GUI Scripting deve avvenire lato server e lato client. Anche se è possibile abilitare lo scripting a livello di sistema SAP, questa azione è sconsigliata.

 

L'attivazione del SAP GUI Scripting su tutto il sistema potrebbe esporre quest'ultimo ad attacchi di Denial Of Service. Per questo motivo è preferibile, se possibile, abilitarla esclusivamente alle utenze che devono farne uso, in maniera controllata.