Artikel 12 februari 2021

Overladen rechten in SAP-applicaties gevaar (part 3)

Veel bedrijven met SAP-erp-software hanteren een set met bovenmaats kritische rechten. Daarbij worden applicaties en afdelingen die dit controleren handig omzeild. Dit schaadt uiteindelijk het bedrijf en geeft fraudeurs, hackers en malware vrij spel. De oplossing ligt niet in techniek of in een applicatie maar in hoe we met security omgaan. Dit is het laatste en derde deel van een drieluik over de spanningsvelden die ontstaan bij het oplossen van kritische rechten en het politieke spel van het verbergen van rechten.

Zoals in de vorige delen gezegd, zit er een tweedeling in de interpretatie van de resultaten van de segregation of duties (sod)-detectietool. De business heeft er soms alle belang bij om ten koste van alles bepaalde toegang te behouden. Dit is meestal niet eens op onredelijke basis; het gaat dan om efficiëntie of ernstige onderbezetting. Dit betekent dat internal audit omzeild moet worden. Mazen in het toepassen van de bovenstaande opties geven daar de gelegenheid toe. Daarbij ontstaan vaak groteske en absurdistische situaties.

De onderstaande situaties zijn niet hypothetisch, maar komen uit de praktijk.

  • Uitwisselen van het wachtwoord / dubbele accounts

Teams zijn soms gesplitst in een A- en B-kant om daarmee bepaalde conflicterende taken te voorkomen. Met het uitwisselen van het wachtwoord is dat effectief te omzeilen. Dit is echter ook totaal onzichtbaar. Het lijkt net of er twee personen aan het werk zijn terwijl dat niet zo is. Een andere manier is twee accounts gebruiken.

  • Misbruik van de nooduser

De nooduser wordt op permanente basis gebruikt om extra rechten te krijgen. Er is dus geen sprake meer van een noodsituatie, maar van een operationele situatie waarin op tactische wijze gebruik wordt gemaakt van de nooduser.

  • Nieuwe naam

De sod-tool herkent alleen dingen die hij kent. Hij herkent geen bedrijfseigen maatwerk. Dit moet je bekent maken aan de tool. Daarmee kan al een hele sloot aan maatwerk onder de radar van Internal Audit schuiven. Als je een nieuwe SAP transactie maakt dan wordt deze dus initieel niet herkent. Slordigheid en gecalculeerde listigheid voeren beide naar dit punt van niet gedetecteerde SoD’s.

  • De ontbrekende architect

Ontbreekt de architect in een organisatie, dan kan alles op een eigen manier gemaakt worden. Zolang maatwerk maar functioneel werkt, zal het door de business geaccepteerd worden. Je kunt dus iets maken wat net twee taken combineert die gescheiden zouden moeten blijven. Dit komt voor bij SAP Fiori applicaties. Bij een goed ontwerp worden functieconflicten in Fiori applicaties net zo goed gedetecteerd als bij normale transacties. De praktijk is dat dit lang niet altijd gebeurt.

Er worden op die manier applicaties gemaakt die functioneel goed werken maar SoD technisch toch een haakje missen of erger een datalek kunnen veroorzaken.

Lees het volledige artikel op computable.nl

Ook interessant