Che cosa significa Data Loss Prevention?
Significa "mettere in campo" tutte le azioni possibili per evitare fughe non autorizzate di dati.
Fuga di dati e perdita di dati hanno significati molteplici. Ma come è possibile fare in SAP?
Come è possibile prevenire e controllare l'esportazione dei dati da SAP?
Purtroppo, non esiste un unico strumento o una sola configurazione da attivare negli ambienti SAP.
Piuttosto esistono diverse soluzioni che possono essere usate. Alcune di queste già disponibili altre a pagamento.
Diversi sono gli ambiti da gestire e controllare:
- La comunicazione di dati, sotto diversi aspetti. Server to Server oppure Client to Server
- I backup dei dati o eventuali file depositati in transito
- La protezione degli end point o client
- L'esportazione applicativa dei dati da SAP
- L'esportazione dei dati a livello di database
Sono solo alcuni degli esempi sui cui lavorare.
SAP Security Audit Log
Si tratta di una funzionalità già disponibile in SAP ECC o SAP S/4HANA o comunque su tutti i sistemi ABAP based, che permette di tracciare tutta una serie di eventi, tra cui anche l'export dei dati da SAP (nelle ultime release).
Leggi qui come funziona e come configurare il SAP Security Audit Log.
SAP Field Masking
In questo caso, tramite questo add on SAP a pagamento è possibile attivare due principali funzionalità:
- Data Masking o Data Obfuscation ovvero, a livello applicativo, quindi non a livello modifica dei dati nel database i dai vengono resi non leggibili, ad esempio tramite l'uso di asterischi ***
- Data Logging in questo caso è possibile identificare delle transazioni critiche da poter controllare in termini di dati acceduti e da chi
Quanto sopra è possibile farlo per diversi canali (tecnologie) ovvero:
- SAP GUI
- WebDynpro
- RFC/BAPI Web Service
- SAP UI5 FIORI
Leggi qui l'approfondimento sul SAP Field Masking e come funziona l'UI Logging.
SAP HANA Database
Anche i dati a livello di database devono essere controllati, tramite l'utilizzo di SAP HANA, alcuni aspetti relativi alla sicurezza dei dati possono essere più semplici rispetto ad altri database è infatti possibile:
- Fare in modo che tutte le connessioni siano configurate in maniera sicura (utilizzando la crittografia quindi)
- Puoi fare in modo di crittografare i dati presenti nel database e backup
- Puoi attivare degli audit log specifici per controllare cosa accade nel sistema
Approfondisci qui cosa puoi fare da subito per attivare 4 funzionalità security di SAP HANA
SAP RFC, protezione e crittografia delle comunicazioni
Le connessioni verso i sistemi SAP devono essere configurate utilizzando i meccanismi di crittografia per prevenire eventuali intercettazioni di dati.
Su diverse superficie di attacco:
- Client -> Server es. SAP GUI e SAP Application Server
- Server -> Server es. tra Application Server
Devono essere ridotti al minimo i servizi esposti da SAP, in questo caso una funzionalità standard chiamata UCON (Unified Connectivity) può essere di aiuto.
Protezione dell'esportazione dei dati
Esistono diverse modalità per esportare i dati da SAP. Qui puoi trovare quali sono i principali modi per esportare i dati da SAP.
Uno degli aspetti che tuttavia può essere ulteriormente controllato è quello di fare in modo che determinati documenti (es. PLM ma anche altri dati, finanziari e di bilancio) possano essere protetti anche dopo l'esportazione da SAP.
Ovvero rispondere ad esempio alle seguenti domande:
- È possibile avere delle notifiche, ad esempio al SIEM per ogni volta che determinati dati siano stati esportati da SAP
- È possibile fare in modo che i dati esportati da SAP siano inutilizzabili o crittografati, se esportati in maniera non autorizzata?
Quanto sopra può essere fatto tramite una soluzione a pagamento chiamata SAP DAM (Dynamic Authorization Management e SAP Enterprise Digital Rights Management (EDRM) di Nextlabs
Come verificare che tutto sia configurato correttamente in SAP?
Ancora una volta non è sufficiente solamente modificare configurazioni o fare progetti ed azioni di remediation. Serve attivare una procedura di controllo costante dei sistemi e delle configurazioni.
In questo caso possono essere utili due funzionalità disponibili all'interno di SAP Solution Manager chiamate:
- SAP Solution Manager Configurator Validation
- SAP Solution Manager System Recommendations
Inoltre, è possibile sfruttare anche degli ulteriori software a pagamento come ad esempio il SAP Enterprise Threat Detection.
Ti sei già iscritto al nostro canale YouTube?