SlideShare uma empresa Scribd logo

Безопасность SAP HCM

Transferir como PPTX, PDF
Positive Hack Days
Positive Hack Days
Tecnologia
1 de 33
Безопасность SAP HCM Как узнать зарплату коллеги, не вставая с рабочего места Евгения Шумахер Ведущий эксперт Positive Technologies
Мы поговорим О SAP-аналитике в Positive Technologies SAP HCM в России Безопасность SAP HCM Демо 1. Как посмотреть зарплату коллеги Демо 2. Как украсть миллион Что делать? Q&A
О нас Опыт работы с SAP Опыт проектирования и внедрения ERP систем Опыт в области аудита ИБ ERP систем Знание стандартов, лучших практик
SAP HCM - решение Управление человеческим капиталом Управление Управление Учет рабочего организационной персоналом времени структурой Расчет Employee Self Рабочий стол заработной Service (ESS) менеджера платы Управление Управление вознаграждениями талантами
Распределение HCM систем по количеству проектов внедрений в РФ SAP ERP HCM* 6% Другие Компас: 42% Управление персоналом 32% 1С:Зарплата и кадры 8 20% *63 внедрения за последние 5 лет 6 внедрений в 2012 году По данным http://www.tadviser.ru
Распределение HCM систем по количеству лицензий Компас: Управление SAP ERP персоналом 19% HCM 34% Другие 23% 1С:Зарплата и кадры 8 24% По данным http://www.tadviser.ru
Данные в SAP HCM ФИО, дата рождения Паспортные данные, ИНН, СНИЛС, банковские реквизиты Данные о занимаемой должности Данные о заработной плате, других вознаграждениях
Почему важно ограничивать доступ к данным сотрудника Конфиденциальность и требования законов/регуляторов Демотивация сотрудников, имеющих доступ к данным о зарплате коллег Информация для планирования дальнейших атак
От приема на работу до расчета зарплаты
Сценарии действий злоумышленника Создание несуществующих сотрудников Перевод на другую должность Просмотр данных о зарплате других сотрудников Увеличение размера зарплаты Завышение времени переработок Заведение премий Заведение командировочных Выплаты уволившимся сотрудникам
Основные причины нарушений Сложность настроек авторизации Избыточность полномочий у руководителей среднего звена Неправильное разделение функциональных обязанностей
SoD Функциональные обязанности 1 Функциональные обязанности 2 Администрирование данных Расчет зарплаты сотрудника Администрирование данных Администрирование позиций сотрудника (ведение штатного расписания) Редактирование данных Редактирование данных о банковского счета сотрудника зарплате/выплатах/удержаниях сотрудника Внесение данных о отработанном Утверждение данных о времени отработанном времени Учет отработанного времени Расчет зарплаты Расчет зарплаты Администрирование позиций
Отчет о результатах внутреннего аудита CIDA (Canadian International Development Agency) В организации численностью более 1700 человек 31 пользователь SAP HCM мог заводить и утверждать собственные переработки 31 пользователь SAP HCM имел возможность создавать должности и нанимать людей на них Всем пользователям SAP HCM были доступны данные более 1700 сотрудников через транзакцию SE16 У 14 ролей были полномочия выполнять программы напрямую через SA38 Вся группа поддержки SAP имела доступ к данным сотрудников Отсутствовали механизмы аудита http://www.acdi-cida.gc.ca
Отчет о результатах внутреннего аудита Bernalillo County, New Mexico 5% проверенных пользователей были уволены, но оставались активными в SAP 35% проверенных пользователей были уволены и заблокированы в SAP, но в SAP не было отметки об увольнении 15% пользователей SAP не были найдены в списке сотрудников 9% проверенных сотрудников имели роли, которые не относились к их должностным обязанностям. www.bernco.gov
Как посмотреть зарплату коллеги, не вставая с рабочего места ДЕМО 1
Данные сотрудника хранятся в инфотипах Единицы информации для введения основных данных в системе управления персоналом называются инфотипами. 0002 – персональные данные 0008 – данные о заработной плате
Способы доступа к данным сотрудника HR-транзакции • PA20 • PA30 • PRMS • PRMD Транзакция SE16 Транзакция SA38
Как украсть миллион ДЕМО 2
Увеличение размера заработной платы
Заведение переработок
Выплаты уволившимся сотрудникам
А ЕЩЕ…
Разработка, тестирование и продуктивная система Разработка Данные Продуктивная Тестирование система
Интеграция SAP HCM с другими системами СКУД 1C SAP HCM
ЧТО ДЕЛАТЬ?
Почему все так плохо? Мало информации Высокие трудозатраты Не хватает специалистов
Типовые меры Построение бизнес-процесса управления персоналом Выявление угроз и рисков безопасности Разработка и соблюдение политик,лучших практик Разработка процедур аудита, их регулярное выполнение Постоянный мониторинг и установка обновлений безопасности Правильное разделение функциональных обязанностей между пользователями
Разработка и соблюдение политик, лучших практик The Australian National Audit Office: Human Resource Information Systems. Better Practice Guide SAP ECC 6.0 Security and Control. Better Practice Guide http://www.anao.gov.au
Улучшение/построение бизнес-процесса управления персоналом
Контроль за установкой обновлений безопасности
Разработка процедур контроля и аудита, их регулярное выполнение
Ваши вопросы Q&A
Безопасность SAP HCM

Recomendados

ИТ-аутсорс, или Как избавиться от непрофильных активностей и затрат
ИТ-аутсорс, или Как избавиться от непрофильных активностей и затратИТ-аутсорс, или Как избавиться от непрофильных активностей и затрат
ИТ-аутсорс, или Как избавиться от непрофильных активностей и затратНовый Сайт
 
Зачем BPMS владельцам ERP
Зачем BPMS владельцам ERPЗачем BPMS владельцам ERP
Зачем BPMS владельцам ERPangromyko
 
Решения Sap для банковского сектора
Решения Sap для банковского сектораРешения Sap для банковского сектора
Решения Sap для банковского сектораNick Turunov
 
ELMA: Гибкие решения для бизнеса
ELMA: Гибкие решения для бизнесаELMA: Гибкие решения для бизнеса
ELMA: Гибкие решения для бизнесаExpolink
 
IT Retail Day 2016 БОСС-Кадровик
IT Retail Day 2016 БОСС-КадровикIT Retail Day 2016 БОСС-Кадровик
IT Retail Day 2016 БОСС-КадровикBossHR
 
HR-системы: мифы и реальность
HR-системы: мифы и реальностьHR-системы: мифы и реальность
HR-системы: мифы и реальностьHR&Trainings EXPO
 
1 c kpi
1 c kpi1 c kpi
1 c kpifinnopolis
 
Управление по целям и KPI : автоматизация процессов
Управление по целям и KPI : автоматизация процессовУправление по целям и KPI : автоматизация процессов
Управление по целям и KPI : автоматизация процессовTQM_systems
 

Recomendados

ИТ-аутсорс, или Как избавиться от непрофильных активностей и затрат
ИТ-аутсорс, или Как избавиться от непрофильных активностей и затратИТ-аутсорс, или Как избавиться от непрофильных активностей и затрат
ИТ-аутсорс, или Как избавиться от непрофильных активностей и затратНовый Сайт
 
Зачем BPMS владельцам ERP
Зачем BPMS владельцам ERPЗачем BPMS владельцам ERP
Зачем BPMS владельцам ERPangromyko
 
Решения Sap для банковского сектора
Решения Sap для банковского сектораРешения Sap для банковского сектора
Решения Sap для банковского сектораNick Turunov
 
ELMA: Гибкие решения для бизнеса
ELMA: Гибкие решения для бизнесаELMA: Гибкие решения для бизнеса
ELMA: Гибкие решения для бизнесаExpolink
 
IT Retail Day 2016 БОСС-Кадровик
IT Retail Day 2016 БОСС-КадровикIT Retail Day 2016 БОСС-Кадровик
IT Retail Day 2016 БОСС-КадровикBossHR
 
HR-системы: мифы и реальность
HR-системы: мифы и реальностьHR-системы: мифы и реальность
HR-системы: мифы и реальностьHR&Trainings EXPO
 
1 c kpi
1 c kpi1 c kpi
1 c kpifinnopolis
 
Управление по целям и KPI : автоматизация процессов
Управление по целям и KPI : автоматизация процессовУправление по целям и KPI : автоматизация процессов
Управление по целям и KPI : автоматизация процессовTQM_systems
 
HR 3.0: цифровые технологии управления персоналом / Тарас Полищук (IBS Group)
HR 3.0: цифровые технологии управления персоналом / Тарас Полищук (IBS Group)HR 3.0: цифровые технологии управления персоналом / Тарас Полищук (IBS Group)
HR 3.0: цифровые технологии управления персоналом / Тарас Полищук (IBS Group)Ontico
 
Оценка эффективности рекрутинга. Топилина Ирина.
Оценка эффективности рекрутинга. Топилина Ирина.Оценка эффективности рекрутинга. Топилина Ирина.
Оценка эффективности рекрутинга. Топилина Ирина.IT-Доминанта
 
Asper for investment
Asper for investmentAsper for investment
Asper for investmentlakuma
 
Сервисы самообслуживания
Сервисы самообслуживанияСервисы самообслуживания
Сервисы самообслуживанияIgor Shevchenko
 
Профессия бухгалтер - есть ли будущее?
Профессия бухгалтер - есть ли будущее?Профессия бухгалтер - есть ли будущее?
Профессия бухгалтер - есть ли будущее?Maksim Panfilov
 
Доклад на конференции "Проектирование бизнес-архитектур"
Доклад на конференции "Проектирование бизнес-архитектур"Доклад на конференции "Проектирование бизнес-архитектур"
Доклад на конференции "Проектирование бизнес-архитектур"Andrey Koptelov
 
ARES_presentation — компании_27.05.2022.pdf
ARES_presentation — компании_27.05.2022.pdfARES_presentation — компании_27.05.2022.pdf
ARES_presentation — компании_27.05.2022.pdfAlexAxiomCMS
 
Административный ресурс - презентация компании
Административный ресурс - презентация компанииАдминистративный ресурс - презентация компании
Административный ресурс - презентация компанииssuser9af63c
 
KPi Suite - программная платформа для создания управленческих информационных ...
KPi Suite - программная платформа для создания управленческих информационных ...KPi Suite - программная платформа для создания управленческих информационных ...
KPi Suite - программная платформа для создания управленческих информационных ...KPI LAB
 
Зачем нужны системы управления ресурсами предприятия (Enterprise Resource Man...
Зачем нужны системы управления ресурсами предприятия (Enterprise Resource Man...Зачем нужны системы управления ресурсами предприятия (Enterprise Resource Man...
Зачем нужны системы управления ресурсами предприятия (Enterprise Resource Man...St. Petersburg Foundation for SME Development
 
Невыполненные обещания ERP
Невыполненные обещания ERPНевыполненные обещания ERP
Невыполненные обещания ERPAnatoly Belychook
 
обзор вселенной Hr Tech
обзор вселенной Hr Techобзор вселенной Hr Tech
обзор вселенной Hr TechHR&Trainings EXPO
 
1С: Зарплата и управление персоналом 8 Корп - ключ к управлению затратами на ...
1С: Зарплата и управление персоналом 8 Корп - ключ к управлению затратами на ...1С: Зарплата и управление персоналом 8 Корп - ключ к управлению затратами на ...
1С: Зарплата и управление персоналом 8 Корп - ключ к управлению затратами на ...Natalia Bocharova
 
Решение НОРБИТ HRM для управления персоналом
Решение НОРБИТ HRM для управления персоналомРешение НОРБИТ HRM для управления персоналом
Решение НОРБИТ HRM для управления персоналомDmytro Taranenko
 
1 c kpi_businesscase
1 c kpi_businesscase1 c kpi_businesscase
1 c kpi_businesscasefinnopolis
 
1 c hrm_corp
1 c hrm_corp1 c hrm_corp
1 c hrm_corpfinnopolis
 
Зачем нужны системы управления взаимоотношениями с клиентами (Customer Relati...
Зачем нужны системы управления взаимоотношениями с клиентами (Customer Relati...Зачем нужны системы управления взаимоотношениями с клиентами (Customer Relati...
Зачем нужны системы управления взаимоотношениями с клиентами (Customer Relati...St. Petersburg Foundation for SME Development
 
автоматизированные инструменты для управления талантами миф или
автоматизированные инструменты для управления талантами миф илиавтоматизированные инструменты для управления талантами миф или
автоматизированные инструменты для управления талантами миф илиWebSoft
 
Можно ли измерить пользу процесса управления конфигурациями?
Можно ли измерить пользу процесса управления конфигурациями?Можно ли измерить пользу процесса управления конфигурациями?
Можно ли измерить пользу процесса управления конфигурациями?Cleverics
 
Доклад на форуме CNEWS BPM
Доклад на форуме CNEWS BPMДоклад на форуме CNEWS BPM
Доклад на форуме CNEWS BPMAndrey Koptelov
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 

Mais conteúdo relacionado

Semelhante a Безопасность SAP HCM

HR 3.0: цифровые технологии управления персоналом / Тарас Полищук (IBS Group)
HR 3.0: цифровые технологии управления персоналом / Тарас Полищук (IBS Group)HR 3.0: цифровые технологии управления персоналом / Тарас Полищук (IBS Group)
HR 3.0: цифровые технологии управления персоналом / Тарас Полищук (IBS Group)Ontico
 
Оценка эффективности рекрутинга. Топилина Ирина.
Оценка эффективности рекрутинга. Топилина Ирина.Оценка эффективности рекрутинга. Топилина Ирина.
Оценка эффективности рекрутинга. Топилина Ирина.IT-Доминанта
 
Asper for investment
Asper for investmentAsper for investment
Asper for investmentlakuma
 
Сервисы самообслуживания
Сервисы самообслуживанияСервисы самообслуживания
Сервисы самообслуживанияIgor Shevchenko
 
Профессия бухгалтер - есть ли будущее?
Профессия бухгалтер - есть ли будущее?Профессия бухгалтер - есть ли будущее?
Профессия бухгалтер - есть ли будущее?Maksim Panfilov
 
Доклад на конференции "Проектирование бизнес-архитектур"
Доклад на конференции "Проектирование бизнес-архитектур"Доклад на конференции "Проектирование бизнес-архитектур"
Доклад на конференции "Проектирование бизнес-архитектур"Andrey Koptelov
 
ARES_presentation — компании_27.05.2022.pdf
ARES_presentation — компании_27.05.2022.pdfARES_presentation — компании_27.05.2022.pdf
ARES_presentation — компании_27.05.2022.pdfAlexAxiomCMS
 
Административный ресурс - презентация компании
Административный ресурс - презентация компанииАдминистративный ресурс - презентация компании
Административный ресурс - презентация компанииssuser9af63c
 
KPi Suite - программная платформа для создания управленческих информационных ...
KPi Suite - программная платформа для создания управленческих информационных ...KPi Suite - программная платформа для создания управленческих информационных ...
KPi Suite - программная платформа для создания управленческих информационных ...KPI LAB
 
Зачем нужны системы управления ресурсами предприятия (Enterprise Resource Man...
Зачем нужны системы управления ресурсами предприятия (Enterprise Resource Man...Зачем нужны системы управления ресурсами предприятия (Enterprise Resource Man...
Зачем нужны системы управления ресурсами предприятия (Enterprise Resource Man...St. Petersburg Foundation for SME Development
 
Невыполненные обещания ERP
Невыполненные обещания ERPНевыполненные обещания ERP
Невыполненные обещания ERPAnatoly Belychook
 
обзор вселенной Hr Tech
обзор вселенной Hr Techобзор вселенной Hr Tech
обзор вселенной Hr TechHR&Trainings EXPO
 
1С: Зарплата и управление персоналом 8 Корп - ключ к управлению затратами на ...
1С: Зарплата и управление персоналом 8 Корп - ключ к управлению затратами на ...1С: Зарплата и управление персоналом 8 Корп - ключ к управлению затратами на ...
1С: Зарплата и управление персоналом 8 Корп - ключ к управлению затратами на ...Natalia Bocharova
 
Решение НОРБИТ HRM для управления персоналом
Решение НОРБИТ HRM для управления персоналомРешение НОРБИТ HRM для управления персоналом
Решение НОРБИТ HRM для управления персоналомDmytro Taranenko
 
1 c kpi_businesscase
1 c kpi_businesscase1 c kpi_businesscase
1 c kpi_businesscasefinnopolis
 
Зачем нужны системы управления взаимоотношениями с клиентами (Customer Relati...
Зачем нужны системы управления взаимоотношениями с клиентами (Customer Relati...Зачем нужны системы управления взаимоотношениями с клиентами (Customer Relati...
Зачем нужны системы управления взаимоотношениями с клиентами (Customer Relati...St. Petersburg Foundation for SME Development
 
автоматизированные инструменты для управления талантами миф или
автоматизированные инструменты для управления талантами миф илиавтоматизированные инструменты для управления талантами миф или
автоматизированные инструменты для управления талантами миф илиWebSoft
 
Можно ли измерить пользу процесса управления конфигурациями?
Можно ли измерить пользу процесса управления конфигурациями?Можно ли измерить пользу процесса управления конфигурациями?
Можно ли измерить пользу процесса управления конфигурациями?Cleverics
 
Доклад на форуме CNEWS BPM
Доклад на форуме CNEWS BPMДоклад на форуме CNEWS BPM
Доклад на форуме CNEWS BPMAndrey Koptelov
 

Semelhante a Безопасность SAP HCM (20)

HR 3.0: цифровые технологии управления персоналом / Тарас Полищук (IBS Group)
HR 3.0: цифровые технологии управления персоналом / Тарас Полищук (IBS Group)HR 3.0: цифровые технологии управления персоналом / Тарас Полищук (IBS Group)
HR 3.0: цифровые технологии управления персоналом / Тарас Полищук (IBS Group)
 
Оценка эффективности рекрутинга. Топилина Ирина.
Оценка эффективности рекрутинга. Топилина Ирина.Оценка эффективности рекрутинга. Топилина Ирина.
Оценка эффективности рекрутинга. Топилина Ирина.
 
Asper for investment
Asper for investmentAsper for investment
Asper for investment
 
Сервисы самообслуживания
Сервисы самообслуживанияСервисы самообслуживания
Сервисы самообслуживания
 
Профессия бухгалтер - есть ли будущее?
Профессия бухгалтер - есть ли будущее?Профессия бухгалтер - есть ли будущее?
Профессия бухгалтер - есть ли будущее?
 
Доклад на конференции "Проектирование бизнес-архитектур"
Доклад на конференции "Проектирование бизнес-архитектур"Доклад на конференции "Проектирование бизнес-архитектур"
Доклад на конференции "Проектирование бизнес-архитектур"
 
ARES_presentation — компании_27.05.2022.pdf
ARES_presentation — компании_27.05.2022.pdfARES_presentation — компании_27.05.2022.pdf
ARES_presentation — компании_27.05.2022.pdf
 
Административный ресурс - презентация компании
Административный ресурс - презентация компанииАдминистративный ресурс - презентация компании
Административный ресурс - презентация компании
 
KPi Suite - программная платформа для создания управленческих информационных ...
KPi Suite - программная платформа для создания управленческих информационных ...KPi Suite - программная платформа для создания управленческих информационных ...
KPi Suite - программная платформа для создания управленческих информационных ...
 
Зачем нужны системы управления ресурсами предприятия (Enterprise Resource Man...
Зачем нужны системы управления ресурсами предприятия (Enterprise Resource Man...Зачем нужны системы управления ресурсами предприятия (Enterprise Resource Man...
Зачем нужны системы управления ресурсами предприятия (Enterprise Resource Man...
 
Невыполненные обещания ERP
Невыполненные обещания ERPНевыполненные обещания ERP
Невыполненные обещания ERP
 
обзор вселенной Hr Tech
обзор вселенной Hr Techобзор вселенной Hr Tech
обзор вселенной Hr Tech
 
1С: Зарплата и управление персоналом 8 Корп - ключ к управлению затратами на ...
1С: Зарплата и управление персоналом 8 Корп - ключ к управлению затратами на ...1С: Зарплата и управление персоналом 8 Корп - ключ к управлению затратами на ...
1С: Зарплата и управление персоналом 8 Корп - ключ к управлению затратами на ...
 
Решение НОРБИТ HRM для управления персоналом
Решение НОРБИТ HRM для управления персоналомРешение НОРБИТ HRM для управления персоналом
Решение НОРБИТ HRM для управления персоналом
 
1 c kpi_businesscase
1 c kpi_businesscase1 c kpi_businesscase
1 c kpi_businesscase
 
1 c hrm_corp
1 c hrm_corp1 c hrm_corp
1 c hrm_corp
 
Зачем нужны системы управления взаимоотношениями с клиентами (Customer Relati...
Зачем нужны системы управления взаимоотношениями с клиентами (Customer Relati...Зачем нужны системы управления взаимоотношениями с клиентами (Customer Relati...
Зачем нужны системы управления взаимоотношениями с клиентами (Customer Relati...
 
автоматизированные инструменты для управления талантами миф или
автоматизированные инструменты для управления талантами миф илиавтоматизированные инструменты для управления талантами миф или
автоматизированные инструменты для управления талантами миф или
 
Можно ли измерить пользу процесса управления конфигурациями?
Можно ли измерить пользу процесса управления конфигурациями?Можно ли измерить пользу процесса управления конфигурациями?
Можно ли измерить пользу процесса управления конфигурациями?
 
Доклад на форуме CNEWS BPM
Доклад на форуме CNEWS BPMДоклад на форуме CNEWS BPM
Доклад на форуме CNEWS BPM
 

Mais de Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

Mais de Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Último

ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...Ирония безопасности
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Ирония безопасности
 

Último (9)

Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 

Безопасность SAP HCM

  • 1. Безопасность SAP HCM Как узнать зарплату коллеги, не вставая с рабочего места Евгения Шумахер Ведущий эксперт Positive Technologies
  • 2. Мы поговорим О SAP-аналитике в Positive Technologies SAP HCM в России Безопасность SAP HCM Демо 1. Как посмотреть зарплату коллеги Демо 2. Как украсть миллион Что делать? Q&A
  • 3. О нас Опыт работы с SAP Опыт проектирования и внедрения ERP систем Опыт в области аудита ИБ ERP систем Знание стандартов, лучших практик
  • 4. SAP HCM - решение Управление человеческим капиталом Управление Управление Учет рабочего организационной персоналом времени структурой Расчет Employee Self Рабочий стол заработной Service (ESS) менеджера платы Управление Управление вознаграждениями талантами
  • 5. Распределение HCM систем по количеству проектов внедрений в РФ SAP ERP HCM* 6% Другие Компас: 42% Управление персоналом 32% 1С:Зарплата и кадры 8 20% *63 внедрения за последние 5 лет 6 внедрений в 2012 году По данным http://www.tadviser.ru
  • 6. Распределение HCM систем по количеству лицензий Компас: Управление SAP ERP персоналом 19% HCM 34% Другие 23% 1С:Зарплата и кадры 8 24% По данным http://www.tadviser.ru
  • 7. Данные в SAP HCM ФИО, дата рождения Паспортные данные, ИНН, СНИЛС, банковские реквизиты Данные о занимаемой должности Данные о заработной плате, других вознаграждениях
  • 8. Почему важно ограничивать доступ к данным сотрудника Конфиденциальность и требования законов/регуляторов Демотивация сотрудников, имеющих доступ к данным о зарплате коллег Информация для планирования дальнейших атак
  • 9. От приема на работу до расчета зарплаты
  • 10. Сценарии действий злоумышленника Создание несуществующих сотрудников Перевод на другую должность Просмотр данных о зарплате других сотрудников Увеличение размера зарплаты Завышение времени переработок Заведение премий Заведение командировочных Выплаты уволившимся сотрудникам
  • 11. Основные причины нарушений Сложность настроек авторизации Избыточность полномочий у руководителей среднего звена Неправильное разделение функциональных обязанностей
  • 12. SoD Функциональные обязанности 1 Функциональные обязанности 2 Администрирование данных Расчет зарплаты сотрудника Администрирование данных Администрирование позиций сотрудника (ведение штатного расписания) Редактирование данных Редактирование данных о банковского счета сотрудника зарплате/выплатах/удержаниях сотрудника Внесение данных о отработанном Утверждение данных о времени отработанном времени Учет отработанного времени Расчет зарплаты Расчет зарплаты Администрирование позиций
  • 13. Отчет о результатах внутреннего аудита CIDA (Canadian International Development Agency) В организации численностью более 1700 человек 31 пользователь SAP HCM мог заводить и утверждать собственные переработки 31 пользователь SAP HCM имел возможность создавать должности и нанимать людей на них Всем пользователям SAP HCM были доступны данные более 1700 сотрудников через транзакцию SE16 У 14 ролей были полномочия выполнять программы напрямую через SA38 Вся группа поддержки SAP имела доступ к данным сотрудников Отсутствовали механизмы аудита http://www.acdi-cida.gc.ca
  • 14. Отчет о результатах внутреннего аудита Bernalillo County, New Mexico 5% проверенных пользователей были уволены, но оставались активными в SAP 35% проверенных пользователей были уволены и заблокированы в SAP, но в SAP не было отметки об увольнении 15% пользователей SAP не были найдены в списке сотрудников 9% проверенных сотрудников имели роли, которые не относились к их должностным обязанностям. www.bernco.gov
  • 15. Как посмотреть зарплату коллеги, не вставая с рабочего места ДЕМО 1
  • 16. Данные сотрудника хранятся в инфотипах Единицы информации для введения основных данных в системе управления персоналом называются инфотипами. 0002 – персональные данные 0008 – данные о заработной плате
  • 17. Способы доступа к данным сотрудника HR-транзакции • PA20 • PA30 • PRMS • PRMD Транзакция SE16 Транзакция SA38
  • 23. Разработка, тестирование и продуктивная система Разработка Данные Продуктивная Тестирование система
  • 24. Интеграция SAP HCM с другими системами СКУД 1C SAP HCM
  • 26. Почему все так плохо? Мало информации Высокие трудозатраты Не хватает специалистов
  • 27. Типовые меры Построение бизнес-процесса управления персоналом Выявление угроз и рисков безопасности Разработка и соблюдение политик,лучших практик Разработка процедур аудита, их регулярное выполнение Постоянный мониторинг и установка обновлений безопасности Правильное разделение функциональных обязанностей между пользователями
  • 28. Разработка и соблюдение политик, лучших практик The Australian National Audit Office: Human Resource Information Systems. Better Practice Guide SAP ECC 6.0 Security and Control. Better Practice Guide http://www.anao.gov.au
  • 30. Контроль за установкой обновлений безопасности
  • 31. Разработка процедур контроля и аудита, их регулярное выполнение