Ma cosa sono i "SAP Cloud Application Services - Advanced Security and Compliance"? E perché se sei in RISE with SAP possono esserti utili?
Analizziamo di cosa si tratta.
Cosa è RISE with SAP?
Ne abbiamo già parlato in questo articolo! RISE with SAP.
Advanced Security & Compliance
Fanno parte di quei servizi (CAS - Cloud Application Services), nel contratto RISE with SAP, a pagamento, in questo caso specifici su controlli relativi, in generale, alla protezione dei dati.
Ma quali sono, in breve?
- Security Risk Check
- Application Server security checks
- Controllo sullo stato applicazione delle Security Note
- Controllo dei parametri di sistema
- Security Audit Log settings
- Application Security Monitoring
- SAP in questo caso configura il Solution Manager per fornire alert ed avvisi
- Controllo delle seguenti configurazioni:
- Application Server security checks
- Controllo sullo stato di applicazione delle Security Note
- Controllo parametri di sistema
- Security Audit Log settings
- Critical authorizations
- Controllo database HANA:
- Security settings
- Critical privileges
- Segregation of Duties Check
- Audit Readiness
- Attività di verifica, che può includere controlli dei precedenti servizi in vista di un IT audit su SAP
- Secure Users and Authorizations
- AMS degli utenti e dei ruoli
- Security for Interface
- Verifica e protezione delle interfacce (es. attraverso attivazione UCON)
- Enterprise Threat Detection. Attivazione dello strumento SAP Enterprise Threat Detection con diversi gradi di supporto:
- Basis Alert Monitoring
- Enhanced Analyses
- Content Adaption
Qui puoi trovare tutti i dettagli dei servizi ed anche una RACI.
I controlli possono avvenire:
- solo su sistemi produttivi che contengono dati critici
- per quanto riguarda l'audit readiness fino ad un massimo di due volte l'anno
- l'analisi SOD su sistemi SAP S/4HANA e SAP ECC
In generale, escludendo i servizi dove sono richiesti dei sistemi (es. SAP Threat Detection) le attività sopra possono essere svolte direttamente dal cliente oppure anche attraverso soluzioni terze disponibili sul mercato.
Particolare attenzione infatti e da porre sulle modalità di ricezione dei risultati e sulla loro "usabilità" a seguito nella sistemazione delle evidenze e soprattutto nella facilità di fruizione o meno di riverifica costante delle evidenze.
Hai qualche dubbio? Contattaci per capire cosa è meglio fare!