Community mailing list archives

community@mail.odoo.com

Re: Odoo vs SAP for data security

by
Ecosoft Co. LTD, Kitti Upariphutthiphong
- 09/25/2015 06:36:24
พอได้ความเห็นจาก Community บ้างละ ผมขอสรุป SAP Security ดังนี้
  • คนที่มี Access เข้า Database จริงๆแล้วก็เข้าตรง และไปสร้าง Database Table หรือไปทำอะไรกับข้อมูลได้
  • แต่ไม่มีใครกล้าทำ เพราะความซับซ้อนของ Table ของ SAP
  • และด้วยความที่ SAP มี Tools เกือบทุกอย่างที่ทำให้ผู้ใช้สามารถสร้าง Table แก้ไขข้อมูล เพิ่ม transaction ทุกๆอย่างได้ โดยผ่านทาง SAP โดยไม่ต้องโค้ด และไม่ต้องเข้าตรงๆ
  • ก็เลยไม่มีเหตุผลที่จะทะลวงเข้าไปตรงๆ
  • แค่ Configure Security เพียงอย่างเดียว (basis) ก็ใช้เวลาราว 2-4 อาทิตย์สำหรับบริษัทขนาดกลางๆ โดย config อย่างละเอียดจนทำให้ผู้ใช้แต่ละคนเข้าถึง Object ได้เพียงไม่กี่ Object
  • และโดยแนวคิดการตั้งค่าสิทธิ์ จะไม่ให้สิทธิ์คนใดคนหนึ่งให้มีสิทธิ์เต็ม แต่จะกระจาย admin เป้นหลายๆคน ทำให้ยากที่จะหาคนที่เข้าถึงระบบได้ทุกอย่าง
  • และที่สำคัญคือ SAP log เกือบทุกสิ่งทุกอย่างที่เกิดขึ้นกับระบบ
  • รวมความว่าสิ่งที่ SAP ทำทั้งหมดทำให้การเข้าถึงระบบทำได้ยาก ทำให้การผู้ใช้งานรู้สึกถึงความ Secured ของระบบ
หรือพูดอีกอย่าง
  • ถ้าเรามีสิทธิ์ถึง Database เราก็สามารถอัพเดทข้อมูลตรงๆได้ไม่ต่างกับ SQL Databse ทั่วไป
  • แต่การวิถึ ของ SAP ปกติจะไม่ให้มีใครเข้าได้ตรง ประกอบกับทุกอย่างแก้ได้ผ่าน SAP เอง ก็เลยไม่มีความจำเป็นต้องเข้า
ถ้ามองในมุมของ Odoo เอง คงไปไม่ถึง SAP แต่อย่างน้อยทำให้ค่อนข้าง Secure ได้ เช่น,
  • Deployed Database ให้มีความ Secure และให้กฏเหล็กเดียวกับ SAP คือไม่ให้มี admin คนเดียวเข้าได้ทุก table แต่ให้มีการ แบ่งแยก (พูดง่ายๆคือปิดไม่ให้ใครข้าตรงๆหลังจากระบบ Go Live)
  • ติดตั้งโมดูล Audit Log (ซึ่งมีอยู่แล้ว) และ Log ทุก Create Read Update Delete ที่เกิดขึ้น
  • สร้างโมดูลที่ทำให้เราสามารถแก้ไขข้อมูลในระบบได้โดยต้องผ่าน API ของ Odoo เสมอ เพื่อที่การแก้ไขทุกอย่างจะได้มีการ Log ในระบบด้วยว่าใครเป็นคนทำอะไร
มีความเห็นอะไรเพิ่มเติมไม๊ครับ

กิตติ



On Fri, Sep 25, 2015 at 4:57 PM, Eva Pinter @ xpansa <eva.pinter@xpansa.com> wrote:

Hello Kitti,


Not sure that I remember all people, but thank you for coming to our presentation.

Just out of my mind, without a lot of thinking
Points to watch:
1. Training
2. Training
3. Training
4. Testing
5. How does odoo handle large quantity of data / users ?
6. Reporting is very weak and mostly wrong in Odoo (sums different units of measure, etc.) and there are almost no existing reports. (SAP is strong in standard reporting)
7. Vocabulary in Odoo is not standard, so it can be quite confusing.
8. Create..Create and Edit can bring a lot of issues to users coming from SAP and should be blocked almost everywhere (there is a module for that in OCA)
9. Stick to the DEV/QA/PROD way of working for development. This practice has shown that it’s very efficient for pushing developments to production

Much depend on the business processes you’ll be using, but I have been screening OCA lately and you will be able to bring extremely efficient and beautiful solutions using some of the OCA modules. 

Hope it helps

-- 

Best Regards,
Eva Pinter


Sales and Marketing Director, XPANSA Logistics | ERP, BI, E-commerce, Data Mining and DMS consulting
Xpansa CLOUD | Full Business IT Infrastructure | https://xpansa.com/products/xpansa-odoo-alfresco-bi-saas/
mERP | Odoo Android App | merpapp.com

/// site  : xpansa.com
/// mail  : eva.pinter@xpansa.com
/// phone, IE : +44 (0)7596 40 30 99
/// skype : epinter

On 25 Sep 2015, at 09:26, Kitti U. <kittiu@ecosoft.co.th> wrote:

Hello Eva,

Very good answer!

(damn!, there seem to be some security magic behind then :p)

We was attending also interesting session from you and Jordi about SAP during last open day. Not sure you remember us, asking question after the session about replacing SAP. :)

From your experiences, you see any big obstacle?

Thank you,
Kitti U.

PS: As you are from SAP, would you able to share why you change course to Odoo despite SAP is #1 ERP in market. I think it would be inspiring for people to know.

On Fri, Sep 25, 2015 at 2:48 PM, Eva Pinter @ xpansa <eva.pinter@xpansa.com> wrote:

Hi Kitty,


It is not impossible to create database tables in SAP using Oracle. Nobody does it because of the risk of doing so. Moreover, SAP has great tools that allow you to create a table and also to generate the transactions and all related screens without one line of code. All tools are quite well developed so that there is no reason for anyone to work directly in the database.

Related to the security, SAP has also worked quite a lot on that and it takes between 2-4 weeks to set-up the authorisation for a middle sized company and you can block almost everything. A little bit of social engineering would not help as it does not allow to access further than the authorised objects of the specific person. You really have to go to the administrators and even they have multiple users with different authorisations in the production system that makes it extremely difficult to figure out which admin has the full rights.

The last element is that almost EVERYTHING in SAP ERP is logged.

All these elements make the customer feel quite secure, once they have set-up SAP properly.

p.s.: I also never heard about a company SAP system being hacked, at least not in the last years (we used to be able to change things using special commands, but that is now so well known that it’s automatically blocked)

-- 

Best Regards,
Eva Pinter


Sales and Marketing Director, XPANSA Logistics | ERP, BI, E-commerce, Data Mining and DMS consulting
Xpansa CLOUD | Full Business IT Infrastructure | https://xpansa.com/products/xpansa-odoo-alfresco-bi-saas/
mERP | Odoo Android App | merpapp.com

/// site  : xpansa.com
/// mail  : eva.pinter@xpansa.com
/// phone, IE : +44 (0)7596 40 30 99
/// skype : epinter

On 25 Sep 2015, at 08:18, Kitti U. <kittiu@ecosoft.co.th> wrote:

Hello,

Thanks a lot for sharing opinions. Just want to add the reply to Eva questions, right from customer.
  • SAP ECC 6.0
  • Database Oracle version 11G
  • New table is created through SAP application, and not directly
  • Never update directly to table because there are multiple linkages, which make it impossible, everything must be done through SAP.
Frankly, I think customer also don't have much idea what sap is doing, as everything is closed. They just know it is hard to access (but interpret that it is a security excellence of SAP).

Can I summarize that it is more on how SAP block access to DB, there is no real magic?

This project is a thrill for our team. Customer knows well how SAP compare to Odoo, they used Odoo for small apps for years, and we replace SD module with Odoo. So far, they love Odoo. Now, they are also taking big challenge to replace everything.

Customer was suffering from the rigidity of SAP, and lately suffer from SAP aggressively chase for more License Fee. I am not sure why SAP choose to this strategy, as it seem to happen to many customers that used SAP for many years. It turn to be Odoo's opportunity.

Wondering if the same trend happen to your home country??? That the big customer wanted to let go SAP.

Does any of you have experiences replacing SAP ERP (not Business One) with Odoo? Any challenge you faces? Any thing we should beware of? Any shared experiences?


Appreciate all your answer,
Kitti U.



On Fri, Sep 25, 2015 at 12:36 PM, Nhomar Hernández <nhomar@gmail.com> wrote:

2015-09-25 0:21 GMT-05:00 Raymond Leung <rrll3838@yahoo.com.hk>:
on who has the right to access data internally, not the database breakpoint or how strong is it on protection. 

+1


--
--------------------
Saludos Cordiales

CEO at Vauxoo Odoo's Gold Partner.
 
--
Nhomar Hernandez
 

_______________________________________________
Mailing-List: https://www.odoo.com/groups/community-59
Post to: mailto:community@mail.odoo.com
Unsubscribe: https://www.odoo.com/groups?unsubscribe




--
Mobile: +66-(0)8-1841-7480
Your ERP Partner => www.ecosoft.co.th

_______________________________________________
Mailing-List: https://www.odoo.com/groups/community-59
Post to: mailto:community@mail.odoo.com
Unsubscribe: https://www.odoo.com/groups?unsubscribe


_______________________________________________
Mailing-List: https://www.odoo.com/groups/community-59
Post to: mailto:community@mail.odoo.com
Unsubscribe: https://www.odoo.com/groups?unsubscribe




--
Mobile: +66-(0)8-1841-7480
Your ERP Partner => www.ecosoft.co.th

_______________________________________________
Mailing-List: https://www.odoo.com/groups/community-59
Post to: mailto:community@mail.odoo.com
Unsubscribe: https://www.odoo.com/groups?unsubscribe


_______________________________________________
Mailing-List: https://www.odoo.com/groups/community-59
Post to: mailto:community@mail.odoo.com
Unsubscribe: https://www.odoo.com/groups?unsubscribe




--
Mobile: +66-(0)8-1841-7480
Your ERP Partner => www.ecosoft.co.th