SAP S/4HANA: biztonsági kihívások, melyeket elkerülni nem, de kezelni lehet

Aki előrelátó, már most elkezdi kialakítani az S/4HANA bevezetési stratégiáját, figyelembe véve, hogy 2027-től a jelenlegi ECC rendszereiket nem fogja támogatni az SAP. Mivel az S/4-re való átállás a vállalat minden szegmensére hatással van, a felkészülés kulcsfontosságú. Ez a stratégiai tervezés jelentős erőforrásokat és szervezést igényel, így a hátralévő idő nem is tűnik olyan hosszúnak. A Deloitte szakértői összeszedték az átállás legnagyobb kockázatait.

Az S/4HANA az SAP újgenerációs platformja, ami technológiailag legalább akkora, ha nem nagyobb változásokat hoz, mint az R/2 verzióról R/3 verzióra váltás 30 évvel ezelőtt, a mainframe rendszerekről a kliens/szerver architektúrára. Az új platform valós idejű adatelemzést és előrejelzést tesz lehetővé egyszerűsített adatstruktúra mellett.

Az átállás a vállalat minden szegmensére hatással van, a stratégiai tervezés pedig jelentős erőforrásokat és szervezést igényel. Az egyik legfontosabb pillére ennek a stratégiának a biztonság és törvényi megfelelősség. „A dolog pozitív oldalát nézve, az S/4HANA átállás lehetőséget ad a vállalatoknak arra, hogy biztonsági, jogosultsági és megfelelősségi szempontból tiszta lappal kezdjenek egy újgenerációs SAP platformon.” – mondta Holenda Balázs, a Deloitte Magyarország technológiai tanácsadás üzletágának igazgatója.

Hogyan érdemes kialakítani az S/4HANA jogosultságokat?

Az S/4HANA jogosultságok bevezetése többféle módon történhet, attól függően, hogy a vállalat mióta, és milyen biztonsági érettséggel használja az SAP rendszert. Alapvetően 3 alapkategória létezik az S/4HANA jogosultságok kialakítására, ha számításba vesszük az újgenerációs SAP felhasználói felület (Fiori) alkalmazhatósági feltételeit:

Meglévő SAP jogosultságok upgrade-je: ebben az esetben a régi SAPGui felület megmarad és nem kerül bevezetésre egyetlen Fiori alkalmazás sem. Ettől függetlenül a funkcionális újdonságokat, az új jogosultsági objektumokat és a jogosultsági ellenőrzéseket tesztelni kell.

Meglévő jogosultságok upgrade-je minimális Fiori használattal: csak azok a Fiori alkalmazások kerülnek bevezetésre, amelyek a cég működése szempontjából elengedhetetlenek és az S/4HANA verzióban már csak Fiori felületen keresztül érhetők el: ilyenek pl. a banki törzsadatok, vagy vámtarifakódok. Ebben az esetben a Fiori konfigurációt el kell végezni, ki kell alakítani a backend szerepköröket, tesztelni kell ezeket a jogosultságokat és ki kell osztani a felhasználóknak.

Az összes üzleti folyamatot és funkcionalitást Fiori szerepkörökre képezik le: a fent említett szükséges jogosultsági és biztonsági konfigurációs feladatok a bevezetésre kerülő Fiori alkalmazások arányában növekednek.

Milyen kihívásokra számítson a bevezetés során?

A Deloitte szakértői szerint minden vállalat szembesülni fog kihívásokkal az S/4HANA rendszer implementálásakor, függetlenül attól, hogy milyen stratégiával alakítja ki a hozzáféréseket. A legfontosabbnak tartott 5 kockázat:

Az S/4HANA jogosultságok kialakítása újszerű megközelítést igényel: mivel az S/4HANA jogosultsági és biztonsági architektúra sok újszerű elemet tartalmaz és a vállalatoknak nincs tapasztalatuk a használatukkal, ezek a struktúrák eddig ismeretlen sérülékenységeket okozhatnak az S/4HANA rendszerben, amiket gondos tervezéssel és rendszerimplementálással kell kezelni. Új jogosultsági és biztonsági stratégiát kell kidolgozni, mivel a megszokott, hagyományos 3 szintű R/3 architektúra megszűnik az összes biztonsági mechanizmusával együtt.

A jogosultsági tervezésnek teljes mértékben üzleti folyamatközpontúnak kell lennie: a szükségszerű tevékenységek („need to know”) elve alapján a Fiori felületnek tükröznie kell, hogy a felhasználónak milyen feladatokat kell elvégezni az S/4HANA környezetben. Ezen jogosultságok kialakítására megfelelő időt és erőforrást kell tervezni. A jogosultságok tervezését, elkészítését és tesztelését célszerű az S/4HANA projekt implementálásakor elvégezni a többi modul bevezetésével párhuzamosan, mert a későbbi jogosultsági újratervezés addicionális költségeket vonhat maga után.

SAP_ALL hozzáférés már nem működik minden S/4HANA funkcióra: a Fiori jogosultságokat mindenképpen testre kell szabni a felhasználó feladatai alapján. Ezt a munkát nem lehet megspórolni, még SAP_ALL jogosultsági profil alkalmazásával sem.

A Fiori jogosultságokat összeférhetetlenségi kockázatoktól mentesen kell megtervezni: biztonsági és audit szempontból kiemelkedő fontosságú az összeférhetetlenségi jogosultságokból („Segregation of Duties” = SoD) eredő kockázatok kezelése. A Fiori katalógusokban (amely a Fiori alkalmazások egy funkcionális halmazának tekinthető) meglévő összeférhetetlenségi kockázatokat érdemes olyan SoD elemző eszközzel támogatni, amellyel nem csak egyszeri állapotfelmérést lehet elvégezni, hanem folyamatosan, és valós időben rendelkezésre áll az S/4HANA katalógusokban, SAP szerepkörökben, illetve a felhasználóknál fellépő összeférhetetlenségi konfliktusok listája. Ilyen eszköz lehet akár egy fejlesztett SoD elemző program, vagy egy teljeskörű GRC alkalmazás SoD elemző komponense (pl. SAP GRC Access Control ARA modulja) is.

Az S/4HANA jogosultsági upgrade nem szakszerű, teljeskörű elvégzése: ha ez a jogosultsági karbantartási folyamat (technikai zsargon szerint az SU25 tranzakció végrehajtása) nem szakszerűen történik, akkor az SAP kódszintű jogosultsági ellenőrzései nem kerülnek beépítésre az S/4HANA platformon és az ECC-ből örökölt, de S/4-ban használhatatlan biztonsági mechanizmusok maradnak érvényben. Ez nem csak biztonsági szempontból kritikus, kezelendő kockázat, hanem az S/4HANA rendszer hatékonyabb felhasználása szempontjából is.

"Tanulnunk kell a korábbi SAP implementációk hibáiból, amikor a biztonsági és jogosultsági kérdéseket legtöbb esetben csak a projekt végén tisztázták és ez végül költséges biztonsági javítást eredményezett, általában audit vizsgálatok következményeként. Azt javasoljuk, hogy ne essenek ugyanebbe a hibába! A biztonság és törvényi megfelelés már a tervezési fázisban kerüljön be az S/4HANA bevezetési stratégiába (security by design). Érdemes tapasztalt tanácsadókat bevonni, akik megfelelő gyakorlattal és technikai eszközökkel rendelkeznek egy átfogó S/4HANA stratégia elkészítéséhez és az S/4 rendszer sikeres bevezetéséhez. Ez a gondos hozzáállás jelentős megtakarítást fog eredményezni az előrelátó vállalatoknál.” – mondta Kálmán György, a Deloitte Magyarország kockázatkezelési tanácsadás üzletágának szenior specialistája.

Új pályázati felhívással segíti az agrártárca a tanyán élőket

Az Agrárminisztérium új, 15 milliárd forint keretösszegű pályázattal támogatja a tanyák fejlesztését - jelentette be Nagy István tárcavezető közösségi oldalán.
2025. 06. 21. 11:00
Megosztás:

Idén is rekordot dönthet a megkötött utasbiztosítások száma

A biztosítók beszámolói alapján egy jó utasbiztosítás akár több tízmillió forintos kiadástól is megkímélheti az utazókat. Bővül is szépen az üzletág: az idei év első negyedévében 10 százalékos növekedést mértek az utasbiztosításoknál az előző évhez képest, és hasonlóan eredményes évre számítanak a biztosítók is - írja közleményében a Bank360.
2025. 06. 21. 10:00
Megosztás:

Két, egyenként 1000 MW-os blokk is épül Üzbegisztánban

2025. június 20-án, a szentpétervári Nemzetközi Gazdasági Fórum alkalmából a Roszatom állami vállalat és az Üzbég Köztársaság kormánya által felügyelt Üzatom atomenergia-fejlesztési ügynökség megállapodást kötött arról, hogy a kis moduláris reaktorokkal (SMR) Üzbegisztánban épülő atomerőművön kívül egy nagy teljesítményű atomerőmű építésének lehetőségét is tanulmányozzák. A vonatkozó egyezményt Alekszej Lihacsov, a Roszatom állami atomenergia-ipari vállalat vezérigazgatója és Azim Ahmedkhadzhaev, az Üzatom igazgatója írta alá.
2025. 06. 21. 09:00
Megosztás:

Allergia vagy intolerancia: mi a különbség? Mit tehet a labor?

Az élelmiszerek forgalmazásakor döntő szerep jut a laboratóriumi vizsgálatoknak, és legalább ennyire fontos a megfelelő jelölés is. A nemrég lezajlott Hungalimentaria Konferencián és kiállításon az Eurofins szakértő választ adott a legfontosabb kérdésekre az élelmiszerallergénekkel és a laboratóriumi tesztekkel kapcsolatban.
2025. 06. 21. 08:00
Megosztás:

Az eddiginél óvatosabb létszámbővítéssel számolnak a hazai munkáltatók a következő hónapokban

A magyar cégek összességében kismértékű létszámnövekedést terveznek 2025 harmadik negyedévére: ebben az időszakban a hazai munkáltatók 28 százaléka tervezi bővíteni jelenlegi munkaerőkeretét, miközben csökkentést 23 százalékuk jelez előre – derül ki a Manpower Magyarország frissen közzétett Munkaerőpiaci Előrejelzéséből.
2025. 06. 21. 07:00
Megosztás:

A nyár robbantja be igazán a személyi kölcsön piacot

Egy friss banki felmérés szerint a megkérdezettek mindössze 2 százaléka finanszírozná banki hitelből a nyaralását, illetve 1 százalék kérne barátoktól, családtagoktól kölcsönt ilyen célra. Gergely Péter, a BiztosDöntés.hu pénzügyi szakértője szerint ennek némileg ellentmond, hogy az MNB statisztikái alapján rendszerint a nyári hónapok valamelyike jelenti darabszámban a csúcsot a személyi hiteleknél.
2025. 06. 21. 06:00
Megosztás:

Idén a 2022-es rekord aszályos évvel futjuk a versenyt

Néhány napja, június 17-én volt a szárazság világnapja – de ez nem ünnep, hanem figyelmeztetés. A világnap célja, hogy a figyelmet az elsivatagosodására irányítsa, ahogyan ezáltal a talaj állapotának romlására és a termőföldek kimerülésére is. Másrészt azért sem örülhetünk, mert a HungaroMet aktuális heti jelentése is egyértelmű: az idei aszály itthon egyre csak fokozódik. Rövid elemzésükben az ELTE Meteorológiai Tanszékének kutatói (Szabó Péter, Kis Anna és Pongrácz Rita) azt mutatják be, hogy az aszály szempontjából mennyire extrém az idei nyárkezdet.
2025. 06. 21. 05:00
Megosztás:

Már TOP 10-ben az Ötöslottó jackpotja

Több mint 100 napja, hogy utoljára telitalálat volt az Ötöslottón. Magyarország legismertebb és legnépszerűbb lottójátékán a várható főnyeremény összege beérte a játék topnyereményeinek 10. legjobbját, jelenleg már 3 milliárd forint felett van.
2025. 06. 21. 04:00
Megosztás:

MÁV: Életbe lép a nyári, főszezoni menetrend

A vakáció első napjától, szombattól nyári menetrendre vált a MÁV-csoport: a turisztikai célpontok irányába sűrűbb indulással és nagyobb kapacitásokkal közlekednek a vonat- és buszjáratok, sőt mostantól a fővárosi közlekedés meghosszabbított hétvégi, éjszakai üzemidejéhez sem csak a korábban bejelentett HÉV-ek és elővárosi "kék" VOLÁN-buszok indulása igazodik, hanem egyes agglomerációs vonatok menetrendje is - közölte a MÁV pénteken az MTI-vel.
2025. 06. 21. 03:00
Megosztás:

Jön a kötelező jogosítványcsere Magyarországon!

Az Európai Unió előírása szerint minden tagállamban egységes formátumú vezetői engedélyeket kell bevezetni.
2025. 06. 21. 02:00
Megosztás:

Orvosok állítják: így lehet akár 100 évnél is tovább élni jó egészségben!

Egyre többen döbbennek rá, hogy a hosszú élet nemcsak a szerencsén múlik. Egy új, magyar egészségprogram most azt ígéri, hogy mindenki számára elérhetővé teszi a hosszú és egészséges élet titkát – nem varázslattal, hanem tudományosan megalapozott lépésekkel.
2025. 06. 21. 01:00
Megosztás:

Sokan számítanak 25 dolláros XRP-re és a Snorter Token sikerére

Az XRP már több, mint 200 napja egy szűk tartományon belül mozog. Az ilyen ármozgások pedig általában felkeltik az elemzők és a kereskedők figyelmét. A kriptovalutának sikerült többször is megtartani a 2 dolláros támaszt, azonban csak rövid ideig tudott 2,90 dollár felett maradni.
2025. 06. 21. 00:01
Megosztás:

A napenergiára, a geotermiára és az atomra lehet építeni a magyar energiaipart

A napenergiára, a geotermiára és az atomra lehet építeni a magyar energiaipart, a kormány ezekre az energiaforrásokra alapozza a jövő energetikáját - mondta az Energiaügyi Minisztérium parlamenti államtitkára pénteken a Borsod-Abaúj-Zemplén vármegyei Tarcalon.
2025. 06. 20. 23:00
Megosztás:

Nagyot álmodik a SoftBank vezérigazgatója

Masayoshi Son, a SoftBank alapítójának elképzelései szerint a cég egy 1.000 milliárd dolláros ipari komplexumot tervezne Arizonában, ami a Project Crystal Land nevet kapta.
2025. 06. 20. 22:00
Megosztás:

Erősödött a forint péntek estére

Erősödött a forint a főbb devizákkal szemben péntek kora estére a bankközi devizapiacon reggelhez képest.
2025. 06. 20. 20:00
Megosztás:

Hiánypótló iránytűt kapnak a befektetők

Elindult a K&H Értékpapír - befektetői hangulatindex, amely heti rendszerességgel méri a K&H Értékpapír lakossági befektetőinek tőkepiaci várakozásait. Az első öt hét válaszai alapján az optimisták aránya stabilan 50% körül alakult, míg a pesszimistáké egyik héten sem érte el a 20 százalékot – az index értéke így jellemzően +20 pont körül mozgott, ami határozottan pozitív piaci hangulatra utal.
2025. 06. 20. 19:00
Megosztás:

Ausztrália bekeményít: új korszak kezdődik a kriptovaluta szabályozásban 2025-től

2025 mérföldkő lehet a globális kriptoszabályozás történetében – Ausztrália ugyanis átfogó és szigorú szabályozási reformokat vezet be. A cél: stabilitás, fogyasztóvédelem és intézményi bizalom megteremtése a digitális eszközök piacán.
2025. 06. 20. 18:00
Megosztás:

Ritkaföldfém mi az? És miért fontos Ukrajna szempontjából?

Az utóbbi időben Ukrajna és a vámháború kapcsán is számtalanszor szóba került a ritkaföldfémek piaca. Rakjunk egy picit – s tényleg csak egy nagyon picit, a téma mérete miatt – rendet ebben a témában.
2025. 06. 20. 17:30
Megosztás:

Megkapta a jóváhagyást az Unicredit a Bizottságtól is

Az Európai Bizottság feltételesen jóváhagyta a Banco BPM felvásárlást.
2025. 06. 20. 17:00
Megosztás:

Czomba Sándor: Diákmunka esetében, a rájuk vonatkozó speciális szabályokat mindenkinek be kell tartani!

A kormány kiemelt figyelmet fordít arra, hogy mindenki, aki akar és tud dolgozni, az lehetőséget is kapjon rá, különös tekintettel a fiatalokra. A munkát vállaló diákok sajátos helyzetben vannak, hiszen a tapasztalat és a jártasság hiánya miatt kiszolgáltatottabbak a munka világában, mint a felnőttek, ezért a Nemzetgazdasági Minisztérium a korábbi évekhez hasonlóan idén is közzéteszi a diákmunkára vonatkozó munkavédelmi és munkaügyi tájékoztatókat. A nyár közeledtével fontos, hogy felhívjuk a figyelmet a diákok munkavégzésével kapcsolatos szabályokra, hiszen sok esetben foglalkoztatásuk eltér a felnőttekétől.
2025. 06. 20. 16:30
Megosztás: