Successfully reported this slideshow.
Your SlideShare is downloading. ×

Безопасность SAP HCM

More Related Content

More from Positive Hack Days

Related Books

Free with a 30 day trial from Scribd

See all

Безопасность SAP HCM

  1. 1. Безопасность SAP HCM Как узнать зарплату коллеги, не вставая с рабочего места Евгения Шумахер Ведущий эксперт Positive Technologies
  2. 2. Мы поговорим О SAP-аналитике в Positive Technologies SAP HCM в России Безопасность SAP HCM Демо 1. Как посмотреть зарплату коллеги Демо 2. Как украсть миллион Что делать? Q&A
  3. 3. О нас Опыт работы с SAP Опыт проектирования и внедрения ERP систем Опыт в области аудита ИБ ERP систем Знание стандартов, лучших практик
  4. 4. SAP HCM - решение Управление человеческим капиталом Управление Управление Учет рабочего организационной персоналом времени структурой Расчет Employee Self Рабочий стол заработной Service (ESS) менеджера платы Управление Управление вознаграждениями талантами
  5. 5. Распределение HCM систем по количеству проектов внедрений в РФ SAP ERP HCM* 6% Другие Компас: 42% Управление персоналом 32% 1С:Зарплата и кадры 8 20% *63 внедрения за последние 5 лет 6 внедрений в 2012 году По данным http://www.tadviser.ru
  6. 6. Распределение HCM систем по количеству лицензий Компас: Управление SAP ERP персоналом 19% HCM 34% Другие 23% 1С:Зарплата и кадры 8 24% По данным http://www.tadviser.ru
  7. 7. Данные в SAP HCM ФИО, дата рождения Паспортные данные, ИНН, СНИЛС, банковские реквизиты Данные о занимаемой должности Данные о заработной плате, других вознаграждениях
  8. 8. Почему важно ограничивать доступ к данным сотрудника Конфиденциальность и требования законов/регуляторов Демотивация сотрудников, имеющих доступ к данным о зарплате коллег Информация для планирования дальнейших атак
  9. 9. От приема на работу до расчета зарплаты
  10. 10. Сценарии действий злоумышленника Создание несуществующих сотрудников Перевод на другую должность Просмотр данных о зарплате других сотрудников Увеличение размера зарплаты Завышение времени переработок Заведение премий Заведение командировочных Выплаты уволившимся сотрудникам
  11. 11. Основные причины нарушений Сложность настроек авторизации Избыточность полномочий у руководителей среднего звена Неправильное разделение функциональных обязанностей
  12. 12. SoD Функциональные обязанности 1 Функциональные обязанности 2 Администрирование данных Расчет зарплаты сотрудника Администрирование данных Администрирование позиций сотрудника (ведение штатного расписания) Редактирование данных Редактирование данных о банковского счета сотрудника зарплате/выплатах/удержаниях сотрудника Внесение данных о отработанном Утверждение данных о времени отработанном времени Учет отработанного времени Расчет зарплаты Расчет зарплаты Администрирование позиций
  13. 13. Отчет о результатах внутреннего аудита CIDA (Canadian International Development Agency) В организации численностью более 1700 человек 31 пользователь SAP HCM мог заводить и утверждать собственные переработки 31 пользователь SAP HCM имел возможность создавать должности и нанимать людей на них Всем пользователям SAP HCM были доступны данные более 1700 сотрудников через транзакцию SE16 У 14 ролей были полномочия выполнять программы напрямую через SA38 Вся группа поддержки SAP имела доступ к данным сотрудников Отсутствовали механизмы аудита http://www.acdi-cida.gc.ca
  14. 14. Отчет о результатах внутреннего аудита Bernalillo County, New Mexico 5% проверенных пользователей были уволены, но оставались активными в SAP 35% проверенных пользователей были уволены и заблокированы в SAP, но в SAP не было отметки об увольнении 15% пользователей SAP не были найдены в списке сотрудников 9% проверенных сотрудников имели роли, которые не относились к их должностным обязанностям. www.bernco.gov
  15. 15. Как посмотреть зарплату коллеги, не вставая с рабочего места ДЕМО 1
  16. 16. Данные сотрудника хранятся в инфотипах Единицы информации для введения основных данных в системе управления персоналом называются инфотипами. 0002 – персональные данные 0008 – данные о заработной плате
  17. 17. Способы доступа к данным сотрудника HR-транзакции • PA20 • PA30 • PRMS • PRMD Транзакция SE16 Транзакция SA38
  18. 18. Как украсть миллион ДЕМО 2
  19. 19. Увеличение размера заработной платы
  20. 20. Заведение переработок
  21. 21. Выплаты уволившимся сотрудникам
  22. 22. А ЕЩЕ…
  23. 23. Разработка, тестирование и продуктивная система Разработка Данные Продуктивная Тестирование система
  24. 24. Интеграция SAP HCM с другими системами СКУД 1C SAP HCM
  25. 25. ЧТО ДЕЛАТЬ?
  26. 26. Почему все так плохо? Мало информации Высокие трудозатраты Не хватает специалистов
  27. 27. Типовые меры Построение бизнес-процесса управления персоналом Выявление угроз и рисков безопасности Разработка и соблюдение политик,лучших практик Разработка процедур аудита, их регулярное выполнение Постоянный мониторинг и установка обновлений безопасности Правильное разделение функциональных обязанностей между пользователями
  28. 28. Разработка и соблюдение политик, лучших практик The Australian National Audit Office: Human Resource Information Systems. Better Practice Guide SAP ECC 6.0 Security and Control. Better Practice Guide http://www.anao.gov.au
  29. 29. Улучшение/построение бизнес-процесса управления персоналом
  30. 30. Контроль за установкой обновлений безопасности
  31. 31. Разработка процедур контроля и аудита, их регулярное выполнение
  32. 32. Ваши вопросы Q&A

×