CISO e SAP

Ma cosa deve fare chi si occupa di IT security in azienda per quanto riguarda i sistemi SAP?

Cosa abbiamo visto in consulenza

Nella consulenza mi capita di frequente la situazione nella quale chi si occupa in azienda della sicurezza aziendale non ha conoscenze o perlomeno non sia nel proprio “radar” il controllo dei sistemi SAP dal punto di vista cyber.

È difficile conosce ogni sistema in maniera così approfondita soprattutto se molto complesso e presente nel business aziendale come SAP.

Tuttavia, questa situazione porta spesso o può portare, ad una zona grigia di mancato controllo. Ovvero chi gestisce SAP a livello applicativo crede che la sicurezza aziendale sia a protezione dei dati, viceversa il contrario.

Creando di fatto un vuoto.

Ma cosa fare quindi?

Quali sono i punti di attenzione da considerare e come iniziare a mettere sotto controllo questi sistemi?

Ti potrai scontrare con queste osservazioni:

• Nessuno si assumerà le responsabilità di modifiche al sistema
• Non sarà facile applicare le patch di sicurezza
• Alcune classiche verifiche non saranno possibili o comunque non complete
• Nessuno avrà una visione complessiva full stack, dai database alla parte applicativa
• Molto probabilmente non avrai l’elenco completo dei sistemi SAP da gestire. Per farti un esempio il SAP Router, usato da SAP per collegarsi in caso di problemi spesso non viene nemmeno considerato come sistema, questo è uno dei componenti più esposti ed è possibile sfruttare vulnerabilità specifiche per arrivare ad altri sistemi aziendali, non solo SAP

Quanto detto non è perché nessuno vorrà darti supporto, ma perché in alcuni contesti aziendali è veramente difficile rispondere a tutte le domande ed avere una visione complessiva.

Ma ecco cosa ti conviene fare a nostro avviso.

Parti facendo un audit o assesment dei sistemi. Questa fotografia di permetterà di avere una visione complessiva dei sistemi SAP in perimetro e per ognuno di questi una valutazione sul grado di controllo.

Definisci un piano di remediation. È difficile che tutto sia come dovrebbe.

Ricordarti che non è sufficiente definire delle procedure o policy di controllo. Devi avere uno strumento automatico che controlla, se possibile in real-time i sistemi, dal punto di vista delle vulnerabilità e della threat detection.

Guarda qui più in dettaglio cosa è possibile fare!

Ecco perché sul mercato esistono diversi strumenti specifici per SAP che permettono di recuperare tutte le informazioni importanti, ricordati che in SAP non esiste un unico punto o unica API che permetta di recuperare tutte le informazioni.

Al momento è necessario, se vuoi, ad esempio integrare le informazioni in un SIEM aziendale, anteporre un sistema che “filtra” i dati effettivamente rilevanti, prima che questi siano mandati al SIEM.

Inoltre, sei sicuro che qualcuno possa prendere in carico gli eventi che poi arrivano al SIEM. Intendo che sicuramente c’è un Analyst pronto a ricevere e gestire l’evento ma ha la sconoscenza per gestirlo?

I sistemi SAP rappresentano una verticalizzazione specifica nell’ecosistema di sistemi che devi gestire e spesso sfociano in attività di business che gli IT Security non hanno in perimetro.

Contattaci se vuoi scoprire cosa abbiamo fatto in altre situazioni di questo tipo o per approfondimenti.