Oprávnění: Technický úvod

V předchozím příspěvku jsme si představili hrdiny naší fiktivní firmy. Doufáme, že naše postavy Vám v mnohém připomenou Vaše kolegy a zároveň že následující technické pojmy osvětlí celý hlavní proces řízení bezpečnosti systému SAP.

Účelem všeho konání je uživatel. Uživatel potřebuje spouštět transakci, respektive program, aby provedl svou práci v systému.

Program pro uživatele připravuje vývojář. Píše programový kód, který provádí zadané úkoly tak, aby usnadnil a urychlil práci uživateli. Program musí v první řadě existovat, aby ho uživatel mohl použít, zároveň by ale program měl obsahovat kontroly oprávnění uživatele, který jej spouští. Tím se zajistí, aby pouze oprávněný uživatel mohl s programem a jeho daty manipulovat. Programátor umožňuje svým programem uživateli přístup k datům, které je třeba chránit před neoprávněným přístupem, například k ceníkům, kontaktům, zásobám, skladům a podobně, a zároveň k funkcím a zdrojům systému, například k možnostem tisku, kalkulaci ceny, odesílání dat do jiných systémů a podobně. Jestliže vývojář do programového kódu nevloží kontroly oprávnění, každý uživatel, který k programu získá přístup, bude moci dělat všechno, co program funkčně umožňuje.

Vývojář musí úzce spolupracovat s administrátorem oprávnění. Všechno, co uživatel smí v systému vykonat, záleží na oprávněních, které mu administrátor přidělil. Administrátor vytváří role, které uživatelům přiděluje, čímž zprostředkovává uživatelům přístup k dílčím oprávněním.

Při spuštění programu systém zpracovává programový kód a provádí jednotlivé instrukce. Některé z těchto instrukcí, tzv. kontroly oprávnění, slouží k tomu, aby pouze oprávnění uživatelé mohli zpracovávat konkrétní data a používat konkrétní funkce programu. Technicky je to poměrně komplikovaná záležitost, ale musíme si ji nyní vysvětlit.

Již jsme si řekli, že vývojář napsal program. V tuto chvíli k programu nemá nikdo přístup. Aby uživatel mohl program vidět a spustit, potřebuje mít přiřazenu roli, která ho ke spuštění programu autorizuje.

Takovou roli vytváří administrátor oprávnění. V prvním kroku administrátor připraví menu role neboli seznam aplikací, ke kterým role umožní budoucím uživatelům přístup. Na základě menu role vytvoří administrátor seznam dílčích oprávnění, ke kterým role poskytuje přístup. Zjednodušeně si to lze představit tak, že systém SAP je veliké puzzle, řekněme o deseti tisících dílcích, a role říká, že k některým z těchto kousků skládačky bude mít její budoucí uživatel přístup.

Nyní nastává chvíle, kdy si musíme položit důležitou otázku „Ke kterým dílkům systému bude tato role poskytovat přístup?“. Správná odpověď je k těm funkcím těch aplikací, které jsme umístili do menu role. Řekněme, že nám vývojář napsal program, ve kterém se dají provádět všechny myslitelné úkoly okolo faktur. Náš univerzální fakturační program má definováno dvacet různých funkcí, co všechno umí s fakturami dělat, například je vytvářet, tisknout, schvalovat a podobně.

Tento program potřebujeme dát k dispozici několika různým uživatelům. Každý z uživatelů má ale v programu provádět jiné úkoly a navzájem si nemají překážet v práci. Proto bude mít každý uživatel jinou roli, s jinou sadou dílčích oprávnění. Menu jejich role bude ve všech případech stejné – na seznamu aplikací bude pouze náš univerzální fakturační program. Dílčí oprávnění se ale budou lišit.

Zjednodušeně jsme se v prvním kroku – menu role – pohledu na celý systém a jeho deset tisíc dílků (neboli deseti tisíc programů a transakcí) dostali na úroveň jednoho programu. Zároveň víme, že náš program má dvacet různých funkcí – z těch vybíráme, které zpřístupníme kterému uživateli. Tohle je ten hlavní moment, kdy musí spolupracovat vývojář a administrátor. Administrátor vidí systém jako oněch deset tisíc dílků a jen k několika z nic má poskytnout uživateli přístup. Vývojář program funkčně omezil tak, aby pracoval pouze s fakturami, a umožnil s nimi právě oněch dvacet aktivit. Tyto informace si vývojář a administrátor musí vyměnit a uložit do dat transakce SU24. Zjednodušeně řečeno je to popis funkcí programu (kterých je program funkčně schopen) a ze kterých funkcí může administrátor vybírat ty, které autorizuje pro uživatele.

Výběrem některých funkcí aplikace popsaných v datech SU24 administrátor definuje dílčí oprávnění pro jednotlivé role. Připravené role pak administrátor přiřadí uživatelům. Uživatelé spustí program a program zkontroluje, které svoje funkce může uživatelům nabídnout. Tím se kruh uzavře a program pracuje podle definovaných funkčních (definovaných vývojářem) a autorizovaných (definovaných administrátorem) podmínek.

… a nyní si představte, že váš systém obsahuje tisíce programů, tisíce uživatelů, tisíce rolí. Automatizační nástroje jsou jediný způsob jak udržet vše pod kontrolou a zároveň neslevovat z kvality a bezpečnosti.

Nyní už je Vám jasné, že příprava programů, rolí, uživatelů a všech vzájemných vztahů je náročný úkol. Čím větší organizace, tím větší počty, a tím obtížnější je všechny vztahy uhlídat. Programy musí fungovat správně, uživatelé musí být oprávněni dostatečně, ale nikoli přehnaně a tak dále. A ještě k tomu připočtěte, že svět se každý den mění. Všechny naznačené vztahy a nastavení je potřeba každý den měnit, aniž by došlo k chybám nebo kompromisům v oblasti bezpečnosti.

Vhodná je tedy nezávislá kontrola. O tu se postará interní nebo externí auditor. Úkolem práce auditora je zkontrolovat, že všechny vztahy jsou správně nastaveny, ale také že toto nastavení je i při změnách neustále respektováno.

Vaše organizace se každý den o kousek mění. Pracovní pozice vznikají nebo zanikají. Noví zaměstnanci přicházejí a jiní odcházejí. Svěřené úkoly se mění, slučují nebo rozdělují. A technické nastavení systému, programy, role, SU24 data, musí tyhle změny neustále reflektovat. V případě, že dojde jen k malému výpadku, může se stát, že práce bude jen den dva stát, protože k ní nikdo nebude oprávněn. Větší výpadky bezpečnosti mohou mít podstatně závažnější důsledky pro celou organizaci nebo dokonce ohrozit její samotnou existenci.

Mají uživatelé s pracovní pozicí fakturant přiřazeny pouze role „Fakturant/ka“? Obsahuje role „Fakturant/ka“ pouze aplikace sloužící k fakturaci? Obsahují programy pro fakturaci pouze funkce, které vyžaduje fakturace? Obsahují role právě ta dílčí oprávnění, která vyžadují jejich aplikace? Tak mnoho otázek si musíme klást a také kontrolovat.

Nikdo z nás by nechtěl být u toho, kdy se seznam všech zákazníků naší organizace z ničeho nic objeví u konkurence, například proto, že nespokojený zaměstnanec naši organizaci opustil a všechny kontakty si vzal s sebou. Nechceme vidět, že náš e-shop má výpadek, protože nám ho konkurent přetížil, aby získal nefér výhodu. Naše komunikace musí zůstat soukromá. Naše data musí být v bezpečí. A proto je udržování vysoké úrovně zabezpečení každé organizace naprosto klíčová věc. Mnozí namítají, že kvalitní zabezpečení stojí peníze a námahu, ale žádné peníze navíc nám nevydělá. Ano, to je pravda. Ale nekvalitním zabezpečením můžeme v jednom okamžiku ztratit roky práce celé.

Auditor předává svá poznatky svým kolegům. Vývojář opraví programy. Administrátor opraví role. Drobné změny v nastavení existujícího prostředí upravuje specialista podpory.

Uživatel zapomněl heslo? Pomohu a nastavím uživateli nové heslo. Změnil kolega nebo kolegyně pracovní pozici? Odstraním stará oprávnění, která již nebudou třeba, a nahradím je novými potřebnými k nové práci. Zavádíme nový fakturační program? Role „Fakturant/ka“ již existuje, obsahuje již deset různých fakturačních programů, a nyní je třeba přidat nový, jedenáctý. Některý specialista podpory zvládne roli uživatelům rozšířit, jiný dá přednost tomu, zprostředkovat změny s kolegy zodpovědnými za administrace oprávnění.

A kruh uzavírá manažer, který překládá potřeby organizace do pracovních úkolů jednotlivých členů týmu. Manažer potřebuje vhled do toho, jak je systém nastaven, a jestli všichni členové týmu pravidla dodržují. Pouze tehdy když máme dobře nastavený systém, který je snadné zkontrolovat, je manažerovi umožněno, aby určoval směr a dílčí změny, které provedou organizaci budoucími výzvami.

Manažer potřebuje vzdělaný, sehraný a motivovaný tým. Automatizační nástroje umožní technickým odborníkům efektivně nastavovat systém, reportovací nástroje umožní auditorům a podpoře kontrolovat a používat nastavená pravidla, a konečně strategické a plánovací nástroje umožní manažerům nad tím vším udržet kontrolu.