В своем блоге «How to Survive an SAP Security Audit» Трейси Левин, консультант по приложениям SAP в области аналитики, описывает три этапа подготовки проверки безопасности SAP и использует для их описания политическую терминологию: состояние объединения, политическая реформа и действующее законодательство. Я попросил Трейси на основе этой модели ответить на несколько вопросов относительно подготовки аудита в SAP-системе.

На первом этапе, в состоянии объединения, организация задает себе следующие вопросы: «Чего мы достигли? Как мы достигли этого? Какие проблемы нам необходимо решить?» Приведите, пожалуйста, примеры проблем, которые встают перед компаниями в процессе подготовки проверки безопасности SAP?

Основной задачей при подготовке аудита в SAP является получение четкого представления о специфичных требованиях клиента к безопасности и обеспечение возможности сформулировать эти требования в терминах бизнес-процессов. Часто требования к безопасности SAP остаются незадокументированными, мы называем это «родовым знанием», поскольку не существует каких-либо центральных репозитариев, четко определяющих ландшафт SAP с отслеживанием и контролем изменений. По мере расширения и развития ландшафта SAP все больше трудностей вызывает масштабирование, поскольку требования становятся строже, а коммуникация между функциональными хранилищами ослабевает. Изменения, внесенные одной функциональной группой, могут перекрывать требования, уже реализованные для другой группы. Причина заключается в недостаточной прозрачности системы в отношении управлении изменениями. Помимо этого клиенты могут сталкиваться с нарушениями правил разделения полномочий (SoD) и необходимостью проектирования развертываемых ролей в соответствии с нормативными требованиями Сарбейнса-Оксли (SOX).