Безопасность SAP HCMКак узнать зарплату коллеги, не вставая с рабочего места

Евгения ШумахерВедущий эксперт Positive Technologies

Мы поговорим

О SAP-аналитике в Positive TechnologiesSAP HCM в РоссииБезопасность SAP HCM Демо 1. Как посмотреть зарплату коллегиДемо 2. Как украсть миллионЧто делать?Q&A

О нас

Опыт работы с SAP Опыт проектирования и внедрения ERP системОпыт в области аудита ИБ ERP системЗнание стандартов, лучших практик

SAP HCM - решение Управление человеческим капиталом

Управление организационной

структурой

Управление персоналом

Учет рабочего времени

Расчет заработной

платы

Employee Self Service (ESS)

Рабочий стол менеджера

Управление вознаграждениями

Управление талантами

Распределение HCM систем по количеству проектов внедрений в РФ

SAP ERP HCM* 6%

Компас: Управление персоналом

32%

1С:Зарплата и кадры 820%

Другие42%

По данным http://www.tadviser.ru *63 внедрения за последние 5 лет 6 внедрений в 2012 году

Распределение HCM систем по количеству лицензий

SAP ERP HCM34%

1С:Зарплата и кадры 8

24%

Другие23%

Компас: Управление персоналом

19%

По данным http://www.tadviser.ru

Данные в SAP HCM

ФИО, дата рожденияПаспортные данные, ИНН, СНИЛС, банковские реквизитыДанные о занимаемой должности Данные о заработной плате, других вознаграждениях

Почему важно ограничивать доступ к данным сотрудника

Конфиденциальность и требования законов/регуляторов Демотивация сотрудников, имеющих доступ к данным о зарплате коллегИнформация для планирования дальнейших атак

От приема на работу до расчета зарплаты

Сценарии действий злоумышленника

Создание несуществующих сотрудниковПеревод на другую должностьПросмотр данных о зарплате других сотрудниковУвеличение размера зарплатыЗавышение времени переработокЗаведение премий Заведение командировочныхВыплаты уволившимся сотрудникам

Основные причины нарушений

Сложность настроек авторизацииИзбыточность полномочий у руководителей среднего звенаНеправильное разделение функциональных обязанностей

SoD

Функциональные обязанности 1 Функциональные обязанности 2

Администрирование данных сотрудника

Расчет зарплаты

Администрирование данных сотрудника

Администрирование позиций (ведение штатного расписания)

Редактирование данных банковского счета сотрудника

Редактирование данных о зарплате/выплатах/удержаниях сотрудника

Внесение данных о отработанном времени

Утверждение данных о отработанном времени

Учет отработанного времени Расчет зарплаты

Расчет зарплаты Администрирование позиций

Отчет о результатах внутреннего аудита CIDA (Canadian International Development Agency)

В организации численностью более 1700 человек31 пользователь SAP HCM мог заводить и утверждать собственные переработки 31 пользователь SAP HCM имел возможность создавать должности и нанимать людей на них Всем пользователям SAP HCM были доступны данные более 1700 сотрудников через транзакцию SE16 У 14 ролей были полномочия выполнять программы напрямую через SA38 Вся группа поддержки SAP имела доступ к данным сотрудниковОтсутствовали механизмы аудита

http://www.acdi-cida.gc.ca

Отчет о результатах внутреннего аудита Bernalillo County, New Mexico

5% проверенных пользователей были уволены, но оставались активными в SAP35% проверенных пользователей были уволены и заблокированы в SAP, но в SAP не было отметки об увольнении15% пользователей SAP не были найдены в списке сотрудников9% проверенных сотрудников имели роли, которые не относились к их должностным обязанностям.

www.bernco.gov

ДЕМО 1

Как посмотреть зарплату коллеги, не вставая с рабочего места

Данные сотрудника хранятся в инфотипах

Единицы информации для введения основных данных в системе управления персоналом называются инфотипами.

0002 – персональные данные0008 – данные о заработной плате

Способы доступа к данным сотрудника

HR-транзакции • PA20• PA30• PRMS• PRMD

Транзакция SE16 Транзакция SA38

ДЕМО 2Как украсть миллион

Увеличение размера заработной платы

Заведение переработок

Выплаты уволившимся сотрудникам

А ЕЩЕ…

Разработка, тестирование и продуктивная система

Данные

Разработка

Тестирование

Продуктивная система

Интеграция SAP HCM с другими системами

СКУД

SAP HCM1C

ЧТО ДЕЛАТЬ?

Почему все так плохо?

Мало информации Высокие трудозатраты Не хватает специалистов

Типовые меры

Построение бизнес-процесса управления персоналомВыявление угроз и рисков безопасности Разработка и соблюдение политик,лучших практик Разработка процедур аудита, их регулярное выполнениеПостоянный мониторинг и установка обновлений безопасностиПравильное разделение функциональных обязанностей между пользователями

Разработка и соблюдение политик, лучших практик

http://www.anao.gov.au

The Australian National Audit Office:Human Resource Information Systems.

Better Practice Guide SAP ECC 6.0 Security and Control.

Better Practice Guide

Улучшение/построение бизнес-процесса управления персоналом

Контроль за установкой обновлений безопасности

Разработка процедур контроля и аудита, их регулярное выполнение

Q&AВаши вопросы