settembre 2007

2

La Società

Aglea nasce nel 2003 come società specializzata nella gestione degli utenti e autorizzazioni nel mondo SAP.

E’ parte del gruppo APL Italiana S.p.A. la quale ha sviluppato SOFIA (per la gestione dei portafogli titoli di Banche e Assicurazioni)

Opera direttamente o a fianco dei principali System Integrator

3

Competenze

Il nostro focus è su:

ConsulenzaRealizzazione progetti di Security SAP

– Nuove implementazioni– Revisioni tramite RBE (Reverse Business Engineering)

Migrazioni di Release delle autorizzazioniAuditingSarbanes Oxley – Segregation of Duties

SoftwareSecurity Analyzer

4

Referenze

Aglea ha lavorato in:Poste ItalianeBanca d’ItaliaCarlo Erba ReagentiPowertrainFiat AutoSonepar / ElettroingrossSanofi / AventisBayerPirelliEdisonAemMetzelzerAlcantaraAgie Charmilles…

5

Security Analyzer

Security Analyzer (S.A.) è una applicazione che serve a controllare la gestione della Security applicativa (utenti e autorizzazioni) di un sistema SAP.

E’ composta da due parti:2 report ABAP scaricano da SAP le informazioniUna applicazione Microsoft Access importa ed elabora

S.A. è compatibile con sistemi SAP a partire dalla release 4.6 di R/3

6

Punti di forza

S.A. :è personalizzabile. Ciò significa che è possibile adattare esigenze specifiche del cliente.permette di incrociare le autorizzazioni con le statistiche anche nella analisi SOD.contiene già una matrice SOD di rischi (basata su transazioni SAP R/3).effettua speciali analisi che aiutano a trovare le non conformità di utilizzo del profile generator.è molto veloce da installare ed utilizzare.permette di fare analisi retroattive.è interamente sviluppato da Aglea che opera esclusivamente nella consulenza della security SAP.

7

Security Analyzer

Una volta installati i due report ABAP nel sistema da analizzare, il processo di documentazione e di analisi è molto semplice:1. Si estraggono i dati da SAP (53 tabelle + statistiche di utilizzo)

e li si mettono in una directory2. Si crea (una tantum) un progetto in S.A. personalizzando

alcune impostazioni3. Si importano i dati in S.A.4. Si generano i report necessari5. Si effettuano eventuali analisi più specifiche:

1. analisi sulle autorizzazioni (una SUIM più potente)2. analisi della SOD su base transazionale

8

Definizione di un progetto

La prima azione La prima azione èèla creazione di un la creazione di un progetto.progetto.

Ad esso Ad esso corrisponde un corrisponde un mandante di un mandante di un sistema SAP.sistema SAP.

Il sistema può Il sistema può tenere in linea i tenere in linea i dati di un solo dati di un solo sistema alla volta.sistema alla volta.

9

Definizione di un progetto

In questa maschera si In questa maschera si possono specificare gli possono specificare gli attributi specifici del attributi specifici del progetto.progetto.

10

Importazione

In pochi minuti (in In pochi minuti (in genere 10/20) si genere 10/20) si importantoimportanto i dati i dati esporatiesporati da SAP.da SAP.

EE’’ possibile possibile importare anche importare anche solo alcune tabelle solo alcune tabelle divise per divise per argomentoargomento

Un apposito LOG Un apposito LOG fornirforniràà le le informazioni utili informazioni utili per capire se per capire se ll’’importazione ha importazione ha avuto problemi.avuto problemi.

11

Reportistica

Da questa Da questa maschera si maschera si possono aprire gli possono aprire gli output.output.

EE’’ possibile avere:possibile avere:

•• una una queryquery da da esportare in Excelesportare in Excel

••salvare salvare direttamente in direttamente in XLSXLS

•• stampare in stampare in formato report (in formato report (in PDF).PDF).

Sono 70 i report Sono 70 i report attualmente attualmente presenti.presenti.

12

Reportistica

13

Analisi organizzativa

Nel caso fosse Nel caso fosse implementato lo implementato lo scenario HR, scenario HR, èèpossibile possibile analizzare offanalizzare off--line line la struttura la struttura organizzativa.organizzativa.

Saranno disponibili Saranno disponibili specifiche specifiche informazioni e informazioni e funzioni non funzioni non disponibile disponibile direttamente da direttamente da SAPSAP

14

Indicatori

Le principali Le principali informazioni delle informazioni delle Security sono Security sono riassunte in una riassunte in una unica schermata.unica schermata.

Da qui Da qui èè possibile possibile supervisionare lo supervisionare lo stato di salute del stato di salute del sistema in pochi sistema in pochi minuti.minuti.

15

Auditing

NellNell’’AUDIT AUDIT èèpossibile fare possibile fare analisi mirate a analisi mirate a livello di oggetto livello di oggetto di autorizzazione.di autorizzazione.

Si possono creare Si possono creare diversi AUDIT diversi AUDIT escludendo dalle escludendo dalle analisi eventuali analisi eventuali utenti bloccati o utenti bloccati o con SAP_ALL e con SAP_ALL e SAP_NEW.SAP_NEW.

16

Auditing

Nel dettaglio si specifica lNel dettaglio si specifica l’’oggetto oggetto interessato e i valori da ricercare.interessato e i valori da ricercare.

EE’’ possibile mettere fino a 3 valori in possibile mettere fino a 3 valori in ““OROR””..

17

SOD Analysis

18

SOD Analysis

LL’’analisi SOD può essere fatta analisi SOD può essere fatta su 5 oggetti SAP:su 5 oggetti SAP:

1.1. Il ruolo composto (Job Role)Il ruolo composto (Job Role)2.2. Il ruolo semplice (Task) Il ruolo semplice (Task)

esaminando le transazione del esaminando le transazione del menmenùù

3.3. Il ruolo semplice (Task) Il ruolo semplice (Task) esaminando le autorizzazioni su esaminando le autorizzazioni su S_TCODES_TCODE

4.4. Le autorizzazioni assegnate Le autorizzazioni assegnate allall’’utente (User). In questo utente (User). In questo caso, se un utente ha una caso, se un utente ha una autorizzazione su S_TCODE con autorizzazione su S_TCODE con range o asterischi, vengono range o asterischi, vengono comunque individuate tutte le comunque individuate tutte le transazioni corrispondenti.transazioni corrispondenti.

5.5. Le transazioni statistiche Le transazioni statistiche utilizzate. Questo permette di utilizzate. Questo permette di intervenire prima sui rischi reali intervenire prima sui rischi reali e successivamente su quelli e successivamente su quelli potenziali.potenziali.

Una apposita funzione Una apposita funzione genera, poi, una ulteriore genera, poi, una ulteriore matrice SOD basata sui matrice SOD basata sui

Job Roles.Job Roles.

19

SOD Analysis

LL’’analisi SOD può essere fatta anche tramite analisi SOD può essere fatta anche tramite simulazione.simulazione.

EE’’ infatti possibile:infatti possibile:

inserire nuovi ruoli (con transazioni)inserire nuovi ruoli (con transazioni)aggiungere transazioni a ruoli giaggiungere transazioni a ruoli giàà

esistentiesistentiinserire legami utenti / ruoli virtualiinserire legami utenti / ruoli virtuali

SarSaràà, quindi, possibile analizzare i risultati , quindi, possibile analizzare i risultati SOD senza modificare il sistema SAP.SOD senza modificare il sistema SAP.

20

SOD Analysis

Schermata che mostra Schermata che mostra le transazioni in una le transazioni in una

dutyduty e la composizione e la composizione di un rischiodi un rischio

21

SOD Analysis

22

SOD Analysis

23

SOD Analysis

24

Versione

25

Rilascio del prodotto

S.A. viene fornito con un canone annuale di licenza d’uso.Nel canone sono compresi gli sviluppi successivi e il supporto ordinario del prodotto.La messa in opera del software è di circa 4 gg(di cui 2 di training).S.A. protetto da chiave hardware USBS.A. può essere rilasciato in versione RuntimeAccessE’ già funzionante su Microsoft Windows Vista ©