AGLEA SAP Security Blog

SAP Cloud Application Services - Advanced Security and Compliance

Scritto da Massimo Manara | May 21, 2024 10:00:00 PM

Ma cosa sono i "SAP Cloud Application Services - Advanced Security and Compliance"? E perché se sei in RISE with SAP possono esserti utili?

 

 

Analizziamo di cosa si tratta.

Cosa è RISE with SAP?

Ne abbiamo già parlato in questo articolo! RISE with SAP.

 

Advanced Security & Compliance

Fanno parte di quei servizi (CAS - Cloud Application Services), nel contratto RISE with SAP, a pagamento, in questo caso specifici su controlli relativi, in generale, alla protezione dei dati.

 

Ma quali sono, in breve?

 

  • Security Risk Check
    • Application Server security checks
    • Controllo sullo stato applicazione delle Security Note 
    • Controllo dei parametri di sistema 
    • Security Audit Log settings
  • Application Security Monitoring
    • SAP in questo caso configura il Solution Manager per fornire alert ed avvisi
      • Controllo delle seguenti configurazioni:
        • Application Server security checks
        • Controllo sullo stato di applicazione delle  Security Note 
        • Controllo parametri di sistema
        • Security Audit Log settings
        • Critical authorizations
        • Controllo database HANA:
          • Security settings
          • Critical privileges
  • Segregation of Duties Check
    • Attraverso l'uso del SAP GRC Access Control e della matrice standard viene svolta una analisi degli accessi in ottica Segregation of Duties
  • Audit Readiness
    • Attività di verifica, che può includere controlli dei precedenti servizi in vista di un IT audit su SAP
  • Secure Users and Authorizations
    • AMS degli utenti e dei ruoli
  • Security for Interface
    • Verifica e protezione delle interfacce (es. attraverso attivazione UCON)
  • Enterprise Threat Detection. Attivazione dello strumento SAP Enterprise Threat Detection con diversi gradi di supporto:
    • Basis Alert Monitoring 
    • Enhanced Analyses
    • Content Adaption

    Qui puoi trovare tutti i dettagli dei servizi ed anche una RACI. 

 

I controlli possono avvenire:

  • solo su sistemi produttivi che contengono dati critici
  • per quanto riguarda l'audit readiness fino ad un massimo di due volte l'anno
  • l'analisi SOD su sistemi SAP S/4HANA e SAP ECC

 

In generale, escludendo i servizi dove sono richiesti dei sistemi (es. SAP Threat Detection) le attività sopra possono essere svolte direttamente dal cliente oppure anche attraverso soluzioni terze disponibili sul mercato.

 

Particolare attenzione infatti e da porre sulle modalità di ricezione dei risultati e sulla loro "usabilità" a seguito nella sistemazione delle evidenze e soprattutto nella facilità di fruizione o meno di riverifica costante delle evidenze.

 

Hai qualche dubbio? Contattaci per capire cosa è meglio fare!