AGLEA SAP Security Blog

2 suggerimenti nella gestione della sicurezza dati: interfacce SAP

Scritto da Massimo Manara | Feb 14, 2023 11:00:00 PM

Hai mai pensato a quanti dati i sistemi SAP si scambiano con sistemi terzi o tra sistemi SAP stessi?

 

 

Quante interfacce ci sono? Quanti sistemi sono collegati? E soprattutto quali e quanti dati vengono scambiati? Chi può avere accesso a questi dati? Nella maggior parte dei casi sono dati di business quindi non prettamente tecnici.

 

Che tipi di interfacce esistono in SAP?

Trovo sia difficile riuscire a fare un elenco esaustivo di tutte le possibilità. Sicuramente alcune sono più usate rispetto ad altre, così come alcune sono diventate obsolete (ma ancora attive in diverse situazioni) rispetto ad altre ad esempio:

 

  • scarico di un determinato file per successiva lettura
  • lettura tramite FTP (File Transfer Protocol) di dati
  • utilizzo di webservice esposti
  • chiamate via RFC (RFC security leggi qui) o altri sistemi di scambio dati proprietari SAP es ALE / IDoc

 

Esiste inoltre uno specifico sistema SAP che nel corso del tempo ha anche cambiato diversi nomi:

SAP XI (Exchange Infrastructure), SAP PI (Process Integration) ed infine SAP PO (Process Orchestration) dedicato esclusivamente alla gestione dello scambio dei dati tra sistemi SAP e non.

 

Come è possibile controllare i dati che vengono scambiati?

Purtroppo, non è così immediato. Per diverse ragioni. Probabilmente in contesti meno estesi è più semplice conoscere tutti i meccanismi di scambio che avvengono da SAP in ingresso o uscita. 

 

In molti casi non esiste una documentazione strutturata che fornisca una chiara rappresentazione del flusso dei dati. Questo è aggravato in contesti dove sono presenti molti sistemi (SAP e non) molti progetti e più società coinvolte (dello stesso gruppo o di fornitori).

 

Questi aspetti fanno sì che molto frequentemente la gestione della sicurezza delle interfacce sia sottovalutata (dando per scontato che siano utenze tecniche coinvolte) o meno presidiata.

 

Va considerato inoltre che lo scambio di informazioni tra i sistemi, nonostante sia gestito dalle "macchine" debba/possa poi essere visto e gestito anche da utenti amministratori o utenti a supporto dei processi.

 

Immagina ad esempio il sistema degli IDoc che permette di scambiare informazioni tra i sistemi SAP. Sono di fatto dei pacchetti di informazione che contengono dati, ad esempio di ordini, di fatture o dati dei dipendenti (anche GDPR relevant).

 

Quindi un utente non abilitato a quei dati (potenzialmente sensibili) direttamente ma indirettamente attraverso la gestione degli IDoc potrebbe vedere o anche modificare, dati al di fuori del suo perimetro.

 

Chiaramente non è pensabile bloccare gli accessi a chiunque. Qualcuno in azienda deve poter utilizzare quei dati. Tuttavia, può capitare che questi aspetti siano sottovalutati e quindi non si abbia la reale percezione di chi è abilitato a fare cose (nel suo insieme più complessivo di abilitazioni)

 

2 suggerimenti da verificare

 

Cosa verificare quindi? Ecco due suggerimenti dai quali partire