Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Безопасность SAP HCM
1. Безопасность SAP HCM
Как узнать зарплату коллеги,
не вставая с рабочего места
Евгения Шумахер
Ведущий эксперт Positive Technologies
2. Мы поговорим
О SAP-аналитике в Positive Technologies
SAP HCM в России
Безопасность SAP HCM
Демо 1. Как посмотреть зарплату коллеги
Демо 2. Как украсть миллион
Что делать?
Q&A
3. О нас
Опыт работы с SAP
Опыт проектирования и внедрения ERP
систем
Опыт в области аудита ИБ ERP систем
Знание стандартов, лучших практик
4. SAP HCM - решение Управление человеческим
капиталом
Управление
Управление Учет рабочего
организационной
персоналом времени
структурой
Расчет
Employee Self Рабочий стол
заработной
Service (ESS) менеджера
платы
Управление Управление
вознаграждениями талантами
5. Распределение HCM систем по количеству проектов
внедрений в РФ
SAP ERP
HCM*
6%
Другие Компас:
42% Управление
персоналом
32%
1С:Зарплата
и кадры 8
20%
*63 внедрения за последние 5 лет
6 внедрений в 2012 году По данным http://www.tadviser.ru
6. Распределение HCM систем по количеству лицензий
Компас:
Управление
SAP ERP
персоналом
19%
HCM
34%
Другие
23%
1С:Зарплата
и кадры 8
24%
По данным http://www.tadviser.ru
7. Данные в SAP HCM
ФИО, дата рождения
Паспортные данные, ИНН, СНИЛС,
банковские реквизиты
Данные о занимаемой должности
Данные о заработной плате, других
вознаграждениях
8. Почему важно ограничивать доступ к данным
сотрудника
Конфиденциальность и требования
законов/регуляторов
Демотивация сотрудников, имеющих
доступ к данным о зарплате коллег
Информация для планирования
дальнейших атак
10. Сценарии действий злоумышленника
Создание несуществующих сотрудников
Перевод на другую должность
Просмотр данных о зарплате других
сотрудников
Увеличение размера зарплаты
Завышение времени переработок
Заведение премий
Заведение командировочных
Выплаты уволившимся сотрудникам
11. Основные причины нарушений
Сложность настроек авторизации
Избыточность полномочий у
руководителей среднего звена
Неправильное разделение
функциональных обязанностей
12. SoD
Функциональные обязанности 1 Функциональные обязанности 2
Администрирование данных Расчет зарплаты
сотрудника
Администрирование данных Администрирование позиций
сотрудника (ведение штатного расписания)
Редактирование данных Редактирование данных о
банковского счета сотрудника зарплате/выплатах/удержаниях
сотрудника
Внесение данных о отработанном Утверждение данных о
времени отработанном времени
Учет отработанного времени Расчет зарплаты
Расчет зарплаты Администрирование позиций
13. Отчет о результатах внутреннего аудита CIDA
(Canadian International Development Agency)
В организации численностью более 1700 человек
31 пользователь SAP HCM мог заводить и утверждать
собственные переработки
31 пользователь SAP HCM имел возможность создавать
должности и нанимать людей на них
Всем пользователям SAP HCM были доступны данные
более 1700 сотрудников через транзакцию SE16
У 14 ролей были полномочия выполнять программы
напрямую через SA38
Вся группа поддержки SAP имела доступ к данным
сотрудников
Отсутствовали механизмы аудита
http://www.acdi-cida.gc.ca
14. Отчет о результатах внутреннего аудита Bernalillo
County, New Mexico
5% проверенных пользователей были
уволены, но оставались активными в SAP
35% проверенных пользователей были
уволены и заблокированы в SAP, но в SAP
не было отметки об увольнении
15% пользователей SAP не были найдены в
списке сотрудников
9% проверенных сотрудников имели роли,
которые не относились к их должностным
обязанностям.
www.bernco.gov
16. Данные сотрудника хранятся в инфотипах
Единицы информации для введения основных
данных в системе управления персоналом
называются инфотипами.
0002 – персональные данные
0008 – данные о заработной плате
17. Способы доступа к данным сотрудника
HR-транзакции
• PA20
• PA30
• PRMS
• PRMD
Транзакция SE16
Транзакция SA38
26. Почему все так плохо?
Мало информации
Высокие трудозатраты
Не хватает специалистов
27. Типовые меры
Построение бизнес-процесса управления
персоналом
Выявление угроз и рисков безопасности
Разработка и соблюдение политик,лучших
практик Разработка процедур аудита, их
регулярное выполнение
Постоянный мониторинг и установка
обновлений безопасности
Правильное разделение функциональных
обязанностей между пользователями
28. Разработка и соблюдение политик, лучших практик
The Australian National Audit Office:
Human Resource Information Systems.
Better Practice Guide
SAP ECC 6.0 Security and Control.
Better Practice Guide
http://www.anao.gov.au