Post on 07-Apr-2018
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 1/23
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 2/23
FIT Consulting
FIT Consulting
FIT Hakknda
© SAP 2008 / Page 2
1999 Ylnda Türkiye¶de kurulan ilk SAP Teknoloji Danmanlk irketidir.
10 yldr sadece Teknolojiye (Basis, ABAP, Mobil, Entegrasyon ve Netweaver) odaklanmtr. Türkiye¶de birçok LK¶e imza atmtr.
SAP ile Entegre lk E-Ticaret Sitesi (Arena Bilgisayar PENCER-E)LK UNIX > LINUX Platform Göçü (Sabah Gazetesi)SAP Netweaver Portal ile LK Tedarikçi ve Bayi Portali (TEMSA)SAP Netweaver Portal ile LK Bilet Sat Sistemi (DO)LK SAP & Elektronik mza Entegrasyonu (SFALT)SAP Veri Eriimi Güvenliinin Parmak zi ile korunmas (ÜLKER)SOA Yaklam ile LK Mobil Uygulamalar (ÜLKER)SAP CRM Sistemi Veri Arivlemesi (AKBANK)Çalan LK Duet Sistemi kurulumu (FIT)
FIT Türkiye, FIT Hollanda ve FIT Kbrs faal olan ülke irketleridir. FIT¶nin baz Partnerleri: SAP, Microsoft, Turkcell, Deloitte , Casio Avrupa. FIT¶nin baz Müterileri: Nestlé, Ülker, DO, SFALT, Tüpra, OPET, Koçta, BriSA, Temsa Global, Avea,Vodafone, Hava,...
Ürünlerimiz, hizmetlerimiz ve çözümlerimizhakknda detayl bilgi içinhttp://www.fitcons.com
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 3/23
FIT Consulting
FIT Consulting
© SAP 2007 / Page 3
1. Amaç
2. SAP Güvenlik Yaklam
2.1 Sk Karlalan Güvenlik Açklar2.2 SAP Güvenlii Nasl Salanr
3. Standart SAP Güvenlik Araçlar3.1 Güvenlie yönelik SAP Çözümleri3.2 SAP GRC3.3 SAP IDM2.3 F.A.S.T
2.3.1 F.A.S.T Yaklam2.3.2 F.A.S.T Fonksiyonlar2.3.3 F.A.S.T Kurulum
4. Sonuç
Agenda
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 4/23
FIT Consulting
FIT Consulting
© SAP 2007 / Page 4
Amaç
Sistemde sk karlalan güvenlik açklarnn kapatlmasnayönelim çözümler
Açk Noktalarn tespit edilmesi
SAP sistemleri Güvenliinin salanmas
Bu ilemlerin daha az zaman ve kaynak kullanlarakyaplabilmesi
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 5/23
FIT Consulting
FIT Consulting
© SAP 2007 / Page 5
1. Amaç
2. SAP Güvenlik Yaklam
2.1 Sk Karlalan Güvenlik Açklar2.2 SAP Güvenlii Nasl Salanr
3. Standart SAP Güvenlik Araçlar3.1 Güvenlie yönelik SAP Çözümleri3.2 SAP GRC3.3 SAP IDM2.3 F.A.S.T
2.3.1 F.A.S.T Yaklam2.3.2 F.A.S.T Fonksiyonlar2.3.3 F.A.S.T Kurulum
4. Sonuç
Agenda
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 6/23
FIT Consulting
FIT Consulting
© SAP 2007 / Page 6
Sk Karlalan Güvenlik açklar
Deloitte 2008 - Top 10 Denetim bulgular
3
4
5
2
� Fazla verilmi yetkiler
1
� Görevler Ayrl
� Eriim kontrolün uygulamasnnprosedürlerle uyumsuzluu
� Kontrollerin dökümante edilmemesi
� Log kaytlarnn olmamas
8
9
10
7
� Uygulama gelitirme personelinin canlortama ve dataya eriimi
6
� Loglarn gözden geçirilmemesi
� ten ayrlma veya transfer durumundaeriim haklarnn kaldrlmamas
� DRC/BCP Testleri
� Canl ortam verisinin test ortamndakullanlmas
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 7/23
FIT ConsultingFIT Consulting
© SAP 2007 / Page 7
SAP Sistemleri Güvenlik Nasl salanr - 1
Kullanc Güvenlii ifre Güvenlii
Yetkilendirme
Görevlerin Ayrm (SoD)
Sistem Güvenlii Sistemlerin korunmas
Standart Kullanclar
RFC Balantlar
Kullanc aktivitelerinin izlenmesi
SAP güncelletirmeleri
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 8/23
FIT ConsultingFIT Consulting
© SAP 2007 / Page 8
SAP Sistemleri Güvenlik Nasl salanr - 2
Veritaban Güvenlii Veritaban kulanc/ifre güvenlii
Veritaban kullanc yetkileri
Veritabanna uzaktan eriim
Veritaban Audit Trace
Yedekleme Stratejisi
Disaster Recovery plan
Veritaban Büyüme Plan
letim Sistemi Güvenlii letim Sistemi Kullanc/ifre
Yetkili kullanclar
Dizin haklar
Paylamlar
Antivirüs
Tehlikeli Startup programlar
Sistemlere Uzaktan Eriim
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 9/23
FIT ConsultingFIT Consulting
© SAP 2007 / Page 9
1. Amaç
2. SAP Güvenlik Yaklam
2.1 Sk Karlalan Güvenlik Açklar2.2 SAP Güvenlii Nasl Salanr
3. SAP Güvenlik Araçlar3.1 Güvenlie yönelik SAP Çözümleri3.2 SAP GRC3.3 SAP IDM2.3 F.A.S.T
2.3.1 F.A.S.T Yaklam2.3.2 F.A.S.T Fonksiyonlar2.3.3 F.A.S.T Kurulum
4. Sonuç
Agenda
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 10/23
FIT ConsultingFIT Consulting
© SAP 2007 / Page 10
Güvenlie yönelik SAP Çözümleri
Sk karlalan Denetim Bulgular ÇözümFazla verilmi yetkiler SAP GRC AC, FASTGörevler Ayrl SAP GRC AC, FASTEriim kontrolün uygulamasnn prosedürlerleuyumsuzluu
SAP GRC AC, SAPIDM
Uygulama gelitirme personelinin canl ortama vedataya eriimi SAP GRC AC, FASTten ayrlma veya transfer durumunda eriimhaklarnn kaldrlmamas SAP IDM, FASTLog kaytlarnn olmamas FAST
SAP GRC ve SAP IDM, SAP BO ürün ailesinde bulunan çözümlerdir FAST, Fit consulting tarafnda gelitirilmi, güvenlie yönelik bir çözümdür.
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 11/23
FIT ConsultingFIT Consulting
© SAP 2007 / Page 11
Güvenlie yönelik SAP Çözümleri ² SAP BO
GRC Access Control
SAP BO GRC Nedir? Kurum içinde entegre bir ekilde çalan uygulamalar bütünüdür.
Bu uygulamalar, risklerin ve kontrollerin dokümantasyon veyönetimini gerçek zamanl olarak salamaya yardmc olur.
Kontrollerin otomasyonu ve risklerin etki ve olabilirliini de minimize
ederler.
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 12/23
FIT ConsultingFIT Consulting
Güvenlie yönelik SAP Çözümleri ² SAP BO
GRC AC Araçlar
© SAP 2007 / Page 12
SAP BO GRC Access Control Risk analysis and remediation
Görevlerin ayrm icin kurallarn tanmlanmas ve temizlikilemlerini yapar.
Enterprise role management
PFCG üzerinden yaplan yetkilendirme yaplr. Yetklilendirmesrasnda SoD kontrolleri yapar. Rollerin download ve uploadugereklidir.
Compliant user provisioning
Tanmlanms SoD kurallarnn korunmasn salar.
Superuser privilege management Super yetkili kullanclarn sisteme girilerini kontrol eder
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 13/23
FIT ConsultingFIT Consulting
Güvenlie yönelik SAP Çözümleri ² SAP IDM
SAP NetWeaver Identity ManagementEriimin rollerle salanmasAçk Entegrasyon
Senkronizasyon
Raporlama ve Audit
Kolay Yönetim
Kullanclar için Self ServisSOA Uyumluluu
ifre Yönetimi Raporlama
Sanal DizinVeri
Senkronizasyonu
Roller ve Atamalar
Provisioning
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 14/23
FIT ConsultingFIT Consulting
F.A.S.T (FIT Automatic Security Tool)
Yaklam
SAP Güvenlik
Kullanc Güvenlii ± F.A.S.T
SAP Sistem Güvenlii - F.A.S.T
Veritaban Güvenlii
letim Sistemi Güvenlii
F.A.S.T Kullanc Güvenlii ve SAP SistemGüvenlii açklarn bulup, önlemede kullanlan
bir hazr araçtr
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 15/23
FIT ConsultingFIT Consulting
F.A.S.T ² FIT Automatic Security Tool
F.A.S.T Kullanc Güvenlii ve SAP SistemGüvenlii açklarn bulup, önlemede kullanlan
bir hazr araçtr
FAST
Tekrar Çaltrlabilir.
Sistemdeki açklar toplu halde görülebilir.
Excel formatnda rapor sunabilir
Güvenlik açklar üzerinde kontrol sahibi olunmasn salar
Risklerin önemine göre snflandrma yapabilir Otomatik düzeltme yapmaz. Öneri sunar
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 16/23
FIT ConsultingFIT Consulting
F.A.S.T Fonksiyonlar - 1
Kullanc Güvenlii ifre Güvenlii kontrolleri
Kritik Yetkilerin kontrolü
Kritik transactionlarn kullanm
Kritik yetki nesnelerinin kullanm
Yetkilendirme Matrisi oluturulmas
Görevlerin Ayrm (SoD) Kontrolü
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 17/23
FIT ConsultingFIT Consulting
F.A.S.T Fonksiyonlar - 2
Sistem Güvenlii Sistemlerin korunmas
Client Korumas
Gelitirme korunmas
Standart Kullanclarn korunmas
RFC Balantlar Kullanc aktivitelerinin izlenmesi
Security Audit Log
Table logging
SAP güncelletirmeleri
Veritaban / letim sistemi kontrolü
Kernel Kontrolü
Support package kontrolü
Güvenlik Notlar kontrolü
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 18/23
FIT ConsultingFIT Consulting
F.A.S.T Raporlama - 1
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 19/23
FIT ConsultingFIT Consulting
Kurulum / Günceleme
F.A.S.T
ABAP
± SAP çerisindeki kontroller ABAP ile yazlmtr
.NET
± Bulunan açklarn yorumlanmas .NET ile yazlmtr.
F.A.S.T KurulumuZFIT ABAP Güvenlik Paketinin sistemlere tanmas
Standalone .NET F.A.S.T uygulamasnn Windowstabanl sisteme kurulumu
F.A.S.T GüncellemeZFIT ABAP Güvenlik Paketi deiikliklerinin sistemlere
tanmas
Standalone .NET F.A.S.T uygulamasnn updateWindows tabanl sisteme kurulumu
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 20/23
FIT ConsultingFIT Consulting
Sonuç
SAP¶de karlalan güvenlik problemleri çözülemez deildir
SAP¶nin güvenlie yönelik araçlar GRC ve IDMdir
F.A.S.T SAP güveliine yönelik hazrlanm bir araçtr
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 21/23
FIT ConsultingFIT Consulting
© SAP 2007 / Page 21
Thank you!
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 22/23
FIT ConsultingFIT Consulting
© SAP 2007 / Page 22
Copyright 2007 SAP AG
All rights reserved
No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP AG. The information contained herein may be changedwithout prior notice.
Some software products marketed by SAP AG and its distributors contain proprietary software components of other software vendors.
SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP AG in Germany and in several other countries all over the world. All other product and service names mentioned andassociated logos displayed are the trademarks of their respective companies. Data contained in this document serves informational purposes only. National product specifications mayvary.
The information in this document is proprietary to SAP. This document is a preliminary version and not subject to your license agreement or any other agreement with SAP. This documentcontains only intended strategies, developments, and functionalities of the SAP® product and is not intended to be binding upon SAP to any particular course of business, productstrategy, and/or development. SAP assumes no responsibility for errors or omissions in this document. SAP does not warrant the accuracy or completeness of the information, text,graphics, links, or other items contained within this material. This document is provided without a warranty of any kind, either express or implied, including but not limited to the impliedwarranties of merchantability, fitness for a particular purpose, or non-infringement.
SAP shall have no liability for damages of any kind including without limitation direct, special, indirect, or consequential damages that may result from the use of these materials. This limitationshall not apply in cases of intent or gross negligence.
The statutory liability for personal injury and defective products is not affected. SAP has no control over the information that you may access through the use of hot links contained in thesematerials and does not endorse your use of third-party W eb pages nor provide any warranty whatsoever relating to third-party Web pages
Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schrif tliche Genehmigung durchSAP AG nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden.
Einige von der SAP AG und deren Vertriebspartnern vertriebene Softwareprodukte können Softwarekomponenten umfassen, die Eigentum anderer Softwarehersteller sind.
SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge und andere in diesem Dokument erwähnte SAP-Produkte und Servicessowie die dazugehörigen Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und in mehreren anderen Ländern weltweit. Alle anderen in diesem Dokumenterwähnten Namen von Produkten und Services sowie die damit verbundenen Firmenlogos sind Marken der jeweiligen Unternehmen. Die Angaben im Text sind unverbindlich unddienen lediglich zu Informationszwecken. Produkte können länderspezifische Unterschiede aufweisen.
Die in diesem Dokument enthaltenen Informationen sind Eigentum von SAP. Dieses Dokument ist eine Vorabversion und unterliegt nicht Ihrer Lizenzvereinbarung oder einer anderenVereinbarung mit SAP. Dieses Dokument enthält nur vorgesehene Strategien, Entwicklungen und Funktionen des SAP®-Produkts und ist für SAP nicht bindend, einen bestimmtenGeschäftsweg, eine Produktstrategie bzw. -entwicklung einzuschlagen. SAP übernimmt keine Verantwortung für Fehler oder Auslassungen in diesen Materialien. SAP garantiert nichtdie Richtigkeit oder Vollständigkeit der Informationen, Texte, Grafiken, Links oder anderer in diesen Materialien enthaltenen Elemente. Diese Publikation wird ohne jegliche Gewähr,weder ausdrücklich noch stillschweigend, bereitgestellt. Dies gilt u. a., aber nicht ausschließlich, hinsichtlich der Gewährleistung der Marktgängigkeit und der Eignung für einenbestimmten Zweck sowie für die Gewährleistung der Nichtverletzung geltenden Rechts.
SAP übernimmt keine Haftung für Schäden jeglicher Art, einschließlich und ohne Einschränkung für direkte, spezielle, indirekte oder Folgeschäden im Zusammenhang mit der Verwendungdieser Unterlagen. Diese Einschränkung gilt nicht bei Vorsatz oder grober Fahrlässigkeit.
Die gesetzliche Haftung bei Personenschäden oder die Produkthaftung bleibt unberührt. Die Informationen, auf die Sie möglicherweise über die in diesem Material enthaltenen Hotlinkszugreifen, unterliegen nicht dem Einfluss von SAP, und SAP unterstützt nicht die Nutzung von Internetseiten Dr itter durch Sie und gibt keinerlei Gewährleistungen oder Zusagen über Internetseiten Dritter ab.
Alle Rechte vorbehalten.
8/6/2019 ITIL/Cobit-ISO 27001 - GRC - IDM 2
http://slidepdf.com/reader/full/itilcobit-iso-27001-grc-idm-2 23/23
FIT ConsultingFIT Consulting
© SAP 2007 / Page 23
Copyright 2007 SAP AG
All rights reserved
Açklk Yönetimi -Altyap ve Operasyon Güvenlii -
Güvenlik Yönetimi -
Süreklilii Yönetimi
Kimlik ve Eriim Yönetimi
Uygulama Bütünlüü
Veri Mahremiyetinin ve Kritik Verinin Korunmas