SAP Security “Segurança”

Ae Galera da forçaaaa… neste post vou abortar um assunto pouco abordado no mundo SAP, porem é de extrema importância “Segurança”

“Pessoal por mais que eu estou me referenciando no mundo SAP este POST vale para todos os sistemas, desde os caseiros até os profissionais, como SAP, Oracle, Microsoft, IBM e tals”

Praticamente em todos os clientes que eu passo eu ouço falar sobre segurança da informação, acessos, geração de logs, que o SAP é mega seguro e tals. A verdade é que todo mundo começa errando pelo mais básico, quase todos os projetos falta alguém de Security, este personagem é o cara que vai determinar perfis de acesso, para os usuários, métodos de acesso ao SAP e será responsável por criar politicas de segurança nos ambiente SAP “Lembrando que este SER não é o Basis”.

“Se o seu projeto tem uma média de 2000 horas, acredite você deve reservar pelo menos 10% do total de horas para a parte se Security. Este é o meu Padrão”.

Pense assim, se você entra em produção com um usuário que tem permissão de realizar um lançamento manual para pagamento, porém ele não é da área de contas a pagar imagina o rombo que ele pode fazer se ele resolver agir de má fé?!?!?!?!

Como o mundo SAP é enorme e existem vários sistemas interligados é comum existir falhas de segurança entre os ambientes.

EX 1: Você tem um ambiente de SAP CRM conectado com o SAP ECC utilizando uma conexão RFC. Imagina se existisse uma forma do usuário se conectar ao SAP ECC e navegar para o ambiente do SAP CRM através desta conexão RFC, agora pense se por alguma falha a RFC esta com um super usuário, prontoooo o caus esta armado e agora é um Deus nos acuda!

EX 2: Você tem um ambiente com o SAP ECC e um sistema satélite interno, então você resolveu criar as conexões através de um WebService, até ai tudo normal, mas agora pense da seguinte forma, você chegou a validar as funções e o webservice que foram criados no SAP, será que se algum ser “Darth Vader” resolvesse criar um webservice que permitisse acessar outra função como gerar desconto, pegar dados ou apagar dados o que iria acontecer?!!?

Então galerinha ai eu te pergunto o que adianta investir em um dos sistemas mas confiáveis do mundo se você não investir na parte de governanças, securtity e auditoria?

Me perguntaram estes dias se era possível invadir um servidor SAP… PessALL um servidor SAP é apenas um servidor de serviços ou de aplicação, ele fica dentro de uma infra-estrutura coberta por firewall, sistema de monitoramento de portas, roteamento de informação, banco de dados criptografado, SO bem instalado e monitorado e tals, então sim é possível você Hackear um servidor SAP, pois na verdade você vai Hackear a infra da empresa e depois que você tiver acesso, acessar qualquer informação que esteja na rede é só uma questão de tempo, por este e outros motivos que a maioria das empresas vem escolhendo em hospedar seus servidores em empresas especializadas nestes serviços, igual  a IBM, TIVIT, HP e etc… “Vale lembrar que quase toda invasão acontece de dentro para fora”.

Abs Galeraaa  que a força esteja com vocês!!!!

Consultor SAP CRM /C4C: Willi Moreira Santana