Beranda » Artikel » PANDUAN DEFINITIF UNTUK KEAMANAN SAP

PANDUAN DEFINITIF UNTUK KEAMANAN SAP

by admin
260 views

Sistem SAP ERP mendukung semua operasi bisnis Anda. Ini termasuk akuntansi, manajemen hubungan pelanggan, dan fungsi SDM

Jika Anda menggunakan perangkat lunak SAP ERP, Anda perlu mengetahui cara menjaga keamanan data.

Data yang akan dikumpulkan implementasi Anda selama operasi normal mencakup informasi tentang katalog produk Anda, data tentang pelanggan dan pemasok Anda, dan informasi tentang karyawan Anda.

Basis data yang terletak di jantung sistem SAP Anda berisi informasi tentang operasi Anda, seperti harga, margin keuntungan, dan daftar klien. Data itu akan bernilai bagi saingan bisnis Anda. Namun, data di sistem Anda yang terkait dengan individu disebut “informasi pengenal pribadi” atau personally identifiable information (PII). Data ini menarik bagi peretas, dan dapat dijual di Dark Web.

PII dan rahasia dagang perlu dilindungi, hilangnya salah satu dapat merusak profitabilitas perusahaan Anda. Standar industri dan undang-undang pemerintah memandu perlindungan PII. Tergantung di mana perusahaan Anda beroperasi dan sektor industri yang terlibat di dalamnya, ada banyak standar keamanan yang harus Anda patuhi.

Keamanan SAP

SAP telah memasukkan langkah-langkah keamanan melalui paket perangkat lunaknya. Keamanan itu terkait dengan akses administrator di belakang layar dan akun pengguna frontend. Akibatnya, Anda tidak perlu membeli sistem pihak ketiga untuk mengamankan implementasi SAP Anda, dan Anda hanya perlu mengelola kontrol akses yang disediakan dalam paket SAP dengan benar.

Anda perlu membeli perangkat lunak dan layanan khusus untuk memastikan tata kelola data keamanan sistem umum Anda.

Keamanan SAP rumit karena begitu banyak elemen berbeda yang perlu diamankan. Untuk menjelaskan banyak poin dari sistem ERP di mana keamanan perlu dikelola, SAP menghasilkan grafik yang disebut Peta Operasi Aman, yang dibuat di bawah ini.

Lapisan Peta diatur untuk memiliki faktor-faktor yang terkait dengan implementasi di bagian bawah tumpukan dan masalah perencanaan di bagian atas.

Jumlah orang yang terlibat dalam penerapan keamanan SAP dalam suatu organisasi tergantung pada ukuran bisnis. Pada akhirnya, Administrator Sistem dan DBA akan menerapkan strategi keamanan SAP.

Keamanan SAP vs. Keamanan Sistem

Ketika Anda melihat Peta Operasi Aman, Anda pasti akan berkomentar bahwa banyak dari lapisan tersebut berhubungan dengan keamanan sistem. Meskipun keamanan sistem mencakup SAP bersama dengan semua fasilitas dan aplikasi lainnya, itu bukan langkah yang hanya akan dipicu oleh proyek Anda untuk mengamankan SAP. Anda akan tetap melakukan tugas-tugas itu.

Peta Operasi Aman adalah cara SAP untuk menyediakan rute yang harus diikuti oleh pelanggan ERP dengan merinci tugas keamanan SAP dan memastikan semua faktor tercakup. Lapisan Organisasi dan Proses dari Peta berisi tugas-tugas kebijakan. Tingkat Lingkungan dan sebagian besar lapisan Sistem Peta adalah masalah sistem umum daripada masalah khusus untuk keamanan SAP.

Lapisan Aplikasi di Peta Operasi Aman secara khusus tentang keamanan SAP. Oleh karena itu, ini menggunakan langkah-langkah keamanan asli yang akan kami fokuskan saat membahas keamanan SAP daripada keamanan operasi TI.

Keamanan organisasi dan proses

Dua lapisan teratas dari Peta Operasi Aman berhubungan dengan strategi perusahaan terhadap manajemen risiko dan kewajiban perlindungan data yang diberlakukan secara eksternal.

Lapisan Organisasi berisi topik yang diperlukan untuk menjaga kepentingan bisnis terbaik, melindungi organisasi dari kehilangan data operasional. Terakhir, lapisan Proses menjelaskan sistem yang dapat mengimplementasikan kewajiban perusahaan yang dituntut oleh standar industri dan undang-undang nasional.

Tugas dan sistem yang diekspresikan dalam dua lapisan ini umumnya diekspresikan dengan judul Governance, Risk, and Compliance (GRC). Itu singkatan dari Tata Kelola, Risiko, dan Kepatuhan. Mereka adalah fungsi bisnis-lebar dan tidak khusus untuk SAP, meskipun SAP menghasilkan sistem yang beroperasi di bidang GRC.

Anda tidak akan menerapkan GRC untuk sistem SAP Anda secara terpisah – ini perlu dilakukan dalam konteks bisnis secara keseluruhan. Untuk memahami masalah yang terlibat dalam GRC dan jenis sistem yang tersedia untuk mendukungnya.

Keamanan Aplikasi SAP

Empat kategori keamanan pada lapisan Aplikasi dari Peta Operasi Aman adalah:

  • Manajemen pengguna dan identitas
  • Otentikasi dan sistem masuk tunggal
  • Peran dan otorisasi
  • Keamanan kode khusus

Di lapisan Sistem, satu lagi kategori keamanan berhubungan langsung dengan SAP. Itu adalah:

  • Kode perangkat lunak SAP yang aman

Sebagian besar pekerjaan yang perlu Anda lakukan untuk menyiapkan keamanan di aplikasi SAP. Ada persyaratan khusus untuk catatan akun, jadi ada informasi tertentu yang tidak bisa Anda hindari. Struktur yang tepat dari akun pengguna Anda akan ditentukan oleh perencanaan yang Anda dan kolega Anda lakukan saat bekerja melalui definisi keamanan organisasi di lapisan Organisasi dan Proses dari Peta Operasi Aman.

Lima kategori terbagi menjadi dua divisi:

  • Keamanan terkait pengguna
  • Keamanan kode

Tanggung jawab untuk kedua area ini dapat dialokasikan ke dua anggota tim dukungan TI yang berbeda, tetapi dalam bisnis kecil, satu orang dapat ditugaskan untuk mengimplementasikan keduanya.

Keamanan SAP terkait pengguna

Dengan sistem ERP, proses pembuatan akun pengguna melibatkan beberapa lapisan tugas alokasi. Ini dinyatakan dalam tiga kategori:

  • Manajemen pengguna dan identitas
  • Otentikasi dan sistem masuk tunggal
  • Peran dan otorisasi

Ketiga tugas pembuatan pengguna ini mengungkapkan nama apa yang dimiliki pengguna dalam sistem, layar apa yang dapat diakses pengguna, dan tindakan apa yang dapat dilakukan pengguna pada setiap layar.

Pemeliharaan akun pengguna di SAP tidak berbeda. Misalnya, ada strategi yang sudah Anda gunakan untuk aplikasi bisnis lain dan akses jaringan atau perangkat umum. Membuat identitas grup adalah hal biasa untuk membedakan antara pengguna sistem dan administrator sistem. Namun, sistem ERP, seperti SAP, juga memerlukan identifikasi kelompok pengguna departemen dan kemudian jenis pengguna dalam setiap departemen.

Manajemen pengguna dan identitas

Perbedaan utama antara pengguna dalam fungsi manajemen pengguna dan identitas keamanan SAP adalah kategorisasi bawaan antara pengguna aplikasi dan teknisi. Akses backend yang diizinkan untuk staf pendukung TI memberikan pandangan yang sangat berbeda dari sistem SAP dengan yang diizinkan untuk pengguna aplikasi.

Untuk pengguna aplikasi, tugas utama adalah memberikan nama pengguna dan kata sandi. Setelah itu, semua pertimbangan lain didorong untuk membuat peran dan tingkat otorisasi.

Otentikasi dan sistem masuk tunggal

Metode otentikasi utama dalam lingkungan SAP adalah kata sandi akun pengguna. Ini perlu dikelola oleh pengguna untuk memastikan bahwa administrator sistem tidak mengontrol kata sandi untuk akun pengguna.

Keputusan untuk mengizinkan lingkungan masuk tunggal dalam organisasi memindahkan manajemen akun pengguna di luar lingkungan administrasi SAP. SAP menyediakan sistem yang disebut “konektor.” Untuk mengaktifkan fungsi manajemen hak akses dari sistem SAP yang akan ditentukan oleh pengaturan yang dipertahankan di sistem eksternal, seperti Active Directory.

Dengan konfigurasi dan pengoperasian konektor AD, Anda dapat mengandalkan Active Directory untuk manajemen akun pengguna SAP Anda, bahkan untuk membuat atau menghapus akun. Strategi terpusat di luar aplikasi SAP ini memungkinkan strategi masuk tunggal untuk diterapkan dan digabungkan dalam keamanan SAP untuk akun pengguna dengan sisa strategi manajemen pengguna dan identitas Anda.

Peran dan otorisasi

Peta Operasi Keamanan menyatukan peran dan otorisasi sebagai satu topik. Namun, ini adalah dua subjek besar yang akan menyerap sebagian besar waktu Anda saat menyiapkan implementasi SAP Anda. Kedua topik ini semakin diperumit oleh konsep persetujuan, yang tidak disebutkan secara eksplisit dalam literatur SAP tetapi cocok dengan kategori Peran dan otorisasi.

Menerapkan peran, profil, otorisasi, dan persetujuan adalah tugas administrasi SAP tertentu. Namun, perencanaan yang memasukkan semua persyaratan untuk topik ini harus berasal dari atas dan merupakan bagian dari fungsi GRC yang diterapkan di lapisan Organisasi dan Proses dari Peta Operasi Aman.

Pada dasarnya, saat merencanakan dan menerapkan peran dan otorisasi, Anda melindungi data sistem dengan membatasi akses ke layar yang mengakses sumber data tersebut. Jadi, misalnya, pengguna yang tidak bisa masuk ke daftar klien tidak bisa mencurinya.

Aturan untuk grup pengguna. Anda membuat peran yang terkait dengan departemen – SDM, Keuangan, Penjualan, dll. Layar yang tersedia untuk setiap pengguna dapat diwarisi dari peran tersebut. Alokasi layar ke peran dimaksud dengan “otorisasi.” Alokasi yang diwarisi dapat disempurnakan di tingkat pengguna, dan alokasi fungsi tingkat yang lebih rendah tersebut mengesampingkan otorisasi yang diwarisi. Alokasi otorisasi tingkat pengguna itu disebut profil.

Persetujuan yang berkaitan dengan kekuatan setiap pengguna untuk mengoperasikan anggaran. Beberapa tindakan, seperti pembelian, memerlukan izin dari pengguna kedua – biasanya manajer. Kemampuan persetujuan setiap pengguna ditentukan dalam hierarki organisasi, yang merupakan bagian dari sistem SDM paket SAP.

Keamanan kode SAP

SAP adalah sistem yang sangat kaku, dan pencipta ERP mencoba untuk mencegah penyesuaian sedapat mungkin. Sebaliknya, perusahaan didorong untuk mengadopsi sistem SAP dengan memilih dari pengaturan yang tersedia daripada menulis ulang layar dan fungsi.

Keamanan kode khusus

Menyesuaikan SAP dapat dilakukan dengan dua cara, menyisipkan fungsi baru di dalam sistem atau menulis utilitas samping di luar sistem. Sikap SAP terhadap salah satu dari dua pendekatan ini sangat mudah: jangan lakukan itu.

Jika Anda membuat perubahan di dalam sistem, perubahan tersebut dapat dihapus dengan pembaruan perangkat lunak berikut dan perlu diintegrasikan kembali. Selain itu, jika Anda membuat sistem di luar lingkungan SAP yang mengakses data dari database, Anda membuka kemungkinan untuk menghindari keamanan sistem SAP yang terstruktur untuk membatasi akses ke data.

Kode perangkat lunak SAP yang aman

Tugas utama penerapan keamanan kode SAP adalah menerapkan tambalan perangkat lunak kapan pun tersedia. Rekomendasi ini dapat dibuat dari paket perangkat lunak apa pun yang Anda jalankan, bukan hanya SAP.

Untuk membantu administrator sistem dalam dilema apakah akan memprioritaskan patch daripada pekerjaan batch di luar jam kerja, SAP telah mengimplementasikan Security Patch Day. Ini adalah hari Selasa kedua setiap bulan. Perusahaan tidak membatasi rilis tambalannya hingga hari itu. Namun, Anda harus mengatur sistem tambalan Anda agar berjalan minimal pada hari itu.

Sistem keamanan SAP

Inti dari keamanan SAP Anda terletak pada struktur akun pengguna, penolakan Anda untuk menyesuaikan kode, dan penerapan Hari Patch Keamanan. Di luar lingkungan SAP, tanggung jawab Anda untuk sistem keamanan terletak pada sistem GRC dan perlindungan sistem.

SAP menghasilkan paket GRC yang merupakan layanan tambahan dan bukan bagian dari lingkungan ERP. Namun, alat ini terintegrasi dengan layanan backend SAP ERP Anda untuk mengintegrasikannya secara efektif ke dalam lingkungan SAP Anda.

Berikut adalah beberapa paket keamanan SAP yang dapat Anda pertimbangkan:

  1. SAP Manajemen Kepatuhan Keuangan Paket ini menerapkan tata kelola otomatis. Ini menerapkan pemeriksaan pra-audit pada keamanan data dan menerapkan persyaratan standar perlindungan data khusus dalam proses manajemen data. Selain itu, sistem ini memberikan peringatan dan panduan serta mengotomatiskan alur kerja untuk memastikan bahwa akses data dicatat dengan benar. Ini adalah platform SaaS.
  2. SAP Risk Management Paket pemantauan ini menilai tingkat risiko, pemicu risiko, dan indikator risiko utama, yang beroperasi secara terus-menerus. Sistem ini didasarkan pada hierarki risiko, yang perlu diatur melalui proses yang dipandu. Tersedia sebagai platform SaaS atau paket perangkat lunak lokal.
  3. SAP Kontrol Proses Paket ini cocok untuk mengimplementasikan lapisan Proses dari Peta Operasi Aman. Ini memberikan gambaran umum tentang kepatuhan standar perlindungan data dan kontrol keuangan. Selain itu, paket ini membantu Anda mengatur hierarki persetujuan di SAP, dan tersedia sebagai platform SaaS dan sebagai paket lokal.
  4. SAP Data Custodian Jika Anda menggunakan sumber daya SAP berbasis cloud, Anda akan mendapat manfaat dari paket ini, yang menerapkan kontrol data dalam sistem berbasis cloud—ditawarkan sebagai platform SaaS.
  5. SAP Tata Kelola Privasi Anda dapat menggunakan modul ini untuk sumber daya lokal dan cloud untuk mengelola proses Permintaan Akses Subjek Digital (DSAR). Anda harus dapat memenuhi permintaan tanpa mengungkapkan informasi tentang orang lain. Ini adalah platform SaaS.

Berita Terkait