Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Безопасность SAP HCMКак узнать зарплату коллеги,не вставая с рабочего места                              Евгения Шумахер  ...
Мы поговорим  О SAP-аналитике в Positive Technologies  SAP HCM в России  Безопасность SAP HCM  Демо 1. Как посмотреть зарп...
О нас  Опыт работы с SAP  Опыт проектирования и внедрения ERP  систем  Опыт в области аудита ИБ ERP систем  Знание стандар...
SAP HCM - решение Управление человеческимкапиталом      Управление                         Управление         Учет рабочег...
Распределение HCM систем по количеству проектоввнедрений в РФ                                 SAP ERP                     ...
Распределение HCM систем по количеству лицензий                   Компас:                 Управление                      ...
Данные в SAP HCM  ФИО, дата рождения  Паспортные данные, ИНН, СНИЛС,  банковские реквизиты  Данные о занимаемой должности ...
Почему важно ограничивать доступ к даннымсотрудника  Конфиденциальность и требования  законов/регуляторов  Демотивация сот...
От приема на работу до расчета зарплаты
Сценарии действий злоумышленника  Создание несуществующих сотрудников  Перевод на другую должность  Просмотр данных о зарп...
Основные причины нарушений  Сложность настроек авторизации  Избыточность полномочий у  руководителей среднего звена  Непра...
SoDФункциональные обязанности 1 Функциональные обязанности 2Администрирование данных         Расчет зарплатысотрудникаАдми...
Отчет о результатах внутреннего аудита CIDA(Canadian International Development Agency)В организации численностью более 170...
Отчет о результатах внутреннего аудита BernalilloCounty, New Mexico  5% проверенных пользователей были  уволены, но остава...
Как посмотреть зарплату коллеги, не вставая срабочего местаДЕМО 1
Данные сотрудника хранятся в инфотипахЕдиницы информации для введения основныхданных в системе управления персоналомназыва...
Способы доступа к данным сотрудника  HR-транзакции   •   PA20   •   PA30   •   PRMS   •   PRMD  Транзакция SE16  Транзакци...
Как украсть миллионДЕМО 2
Увеличение размера заработной платы
Заведение переработок
Выплаты уволившимся сотрудникам
А ЕЩЕ…
Разработка, тестирование и продуктивная система                    Разработка                      ДанныеПродуктивная     ...
Интеграция SAP HCM с другими системами                     СКУД            1C                SAP HCM
ЧТО ДЕЛАТЬ?
Почему все так плохо?  Мало информации  Высокие трудозатраты  Не хватает специалистов
Типовые меры  Построение бизнес-процесса управления  персоналом  Выявление угроз и рисков безопасности  Разработка и соблю...
Разработка и соблюдение политик, лучших практикThe Australian National Audit Office:  Human Resource Information Systems. ...
Улучшение/построение бизнес-процесса управленияперсоналом
Контроль за установкой обновлений безопасности
Разработка процедур контроля и аудита, ихрегулярное выполнение
Ваши вопросыQ&A
Безопасность SAP HCM
Upcoming SlideShare
Loading in …5
×

Безопасность SAP HCM

2,066 views

Published on

Published in: Technology
  • Be the first to comment

Безопасность SAP HCM

  1. 1. Безопасность SAP HCMКак узнать зарплату коллеги,не вставая с рабочего места Евгения Шумахер Ведущий эксперт Positive Technologies
  2. 2. Мы поговорим О SAP-аналитике в Positive Technologies SAP HCM в России Безопасность SAP HCM Демо 1. Как посмотреть зарплату коллеги Демо 2. Как украсть миллион Что делать? Q&A
  3. 3. О нас Опыт работы с SAP Опыт проектирования и внедрения ERP систем Опыт в области аудита ИБ ERP систем Знание стандартов, лучших практик
  4. 4. SAP HCM - решение Управление человеческимкапиталом Управление Управление Учет рабочего организационной персоналом времени структурой Расчет Employee Self Рабочий стол заработной Service (ESS) менеджера платы Управление Управление вознаграждениями талантами
  5. 5. Распределение HCM систем по количеству проектоввнедрений в РФ SAP ERP HCM* 6% Другие Компас: 42% Управление персоналом 32% 1С:Зарплата и кадры 8 20%*63 внедрения за последние 5 лет 6 внедрений в 2012 году По данным http://www.tadviser.ru
  6. 6. Распределение HCM систем по количеству лицензий Компас: Управление SAP ERP персоналом 19% HCM 34% Другие 23% 1С:Зарплата и кадры 8 24% По данным http://www.tadviser.ru
  7. 7. Данные в SAP HCM ФИО, дата рождения Паспортные данные, ИНН, СНИЛС, банковские реквизиты Данные о занимаемой должности Данные о заработной плате, других вознаграждениях
  8. 8. Почему важно ограничивать доступ к даннымсотрудника Конфиденциальность и требования законов/регуляторов Демотивация сотрудников, имеющих доступ к данным о зарплате коллег Информация для планирования дальнейших атак
  9. 9. От приема на работу до расчета зарплаты
  10. 10. Сценарии действий злоумышленника Создание несуществующих сотрудников Перевод на другую должность Просмотр данных о зарплате других сотрудников Увеличение размера зарплаты Завышение времени переработок Заведение премий Заведение командировочных Выплаты уволившимся сотрудникам
  11. 11. Основные причины нарушений Сложность настроек авторизации Избыточность полномочий у руководителей среднего звена Неправильное разделение функциональных обязанностей
  12. 12. SoDФункциональные обязанности 1 Функциональные обязанности 2Администрирование данных Расчет зарплатысотрудникаАдминистрирование данных Администрирование позицийсотрудника (ведение штатного расписания)Редактирование данных Редактирование данных обанковского счета сотрудника зарплате/выплатах/удержаниях сотрудникаВнесение данных о отработанном Утверждение данных овремени отработанном времениУчет отработанного времени Расчет зарплатыРасчет зарплаты Администрирование позиций
  13. 13. Отчет о результатах внутреннего аудита CIDA(Canadian International Development Agency)В организации численностью более 1700 человек 31 пользователь SAP HCM мог заводить и утверждать собственные переработки 31 пользователь SAP HCM имел возможность создавать должности и нанимать людей на них Всем пользователям SAP HCM были доступны данные более 1700 сотрудников через транзакцию SE16 У 14 ролей были полномочия выполнять программы напрямую через SA38 Вся группа поддержки SAP имела доступ к данным сотрудников Отсутствовали механизмы аудита http://www.acdi-cida.gc.ca
  14. 14. Отчет о результатах внутреннего аудита BernalilloCounty, New Mexico 5% проверенных пользователей были уволены, но оставались активными в SAP 35% проверенных пользователей были уволены и заблокированы в SAP, но в SAP не было отметки об увольнении 15% пользователей SAP не были найдены в списке сотрудников 9% проверенных сотрудников имели роли, которые не относились к их должностным обязанностям. www.bernco.gov
  15. 15. Как посмотреть зарплату коллеги, не вставая срабочего местаДЕМО 1
  16. 16. Данные сотрудника хранятся в инфотипахЕдиницы информации для введения основныхданных в системе управления персоналомназываются инфотипами. 0002 – персональные данные 0008 – данные о заработной плате
  17. 17. Способы доступа к данным сотрудника HR-транзакции • PA20 • PA30 • PRMS • PRMD Транзакция SE16 Транзакция SA38
  18. 18. Как украсть миллионДЕМО 2
  19. 19. Увеличение размера заработной платы
  20. 20. Заведение переработок
  21. 21. Выплаты уволившимся сотрудникам
  22. 22. А ЕЩЕ…
  23. 23. Разработка, тестирование и продуктивная система Разработка ДанныеПродуктивная Тестирование система
  24. 24. Интеграция SAP HCM с другими системами СКУД 1C SAP HCM
  25. 25. ЧТО ДЕЛАТЬ?
  26. 26. Почему все так плохо? Мало информации Высокие трудозатраты Не хватает специалистов
  27. 27. Типовые меры Построение бизнес-процесса управления персоналом Выявление угроз и рисков безопасности Разработка и соблюдение политик,лучших практик Разработка процедур аудита, их регулярное выполнение Постоянный мониторинг и установка обновлений безопасности Правильное разделение функциональных обязанностей между пользователями
  28. 28. Разработка и соблюдение политик, лучших практикThe Australian National Audit Office: Human Resource Information Systems. Better Practice Guide SAP ECC 6.0 Security and Control. Better Practice Guide http://www.anao.gov.au
  29. 29. Улучшение/построение бизнес-процесса управленияперсоналом
  30. 30. Контроль за установкой обновлений безопасности
  31. 31. Разработка процедур контроля и аудита, ихрегулярное выполнение
  32. 32. Ваши вопросыQ&A

×