Una mappa per orientarsi nella gestione della security SAP, perché è stata definita da SAP?
Come leggerla? Come usarla? Quando?
Cosa è la SAP Secure Operation Map?
Si tratta di una struttura di informazioni che permette di orientarsi nel mondo della security SAP.
Come avrai avuto modo di vedere, leggendo i nostri post, guardando i nostri video, gli argomenti da presidiare sono moltissimi. Spesso completamente sconosciuti.
In parte è anche questa una delle finalità dei contenuti che produciamo, permetterti di vedere e scoprire quali sono le aree di presidio, mostrandole e capendone l'importanza.
Se non conosci qualcosa difficilmente sarà presidiata. Ecco quindi la medesima azione svolta anche da SAP. Qui di seguito trovi la rappresentazione grafica della mappa realizzata da SAP (versione 3 - 2020)
Nella seguente immagine una delle versioni precedenti (1.9 - 2016), la prima versione 1.0 risale tuttavia al 2014.
In questa mappa è possibile trovare le principali aree di intervento, nella nuova versione 2.0, in un formato che ricorda molto i cubi del COSO (The Committee of Sponsoring Organizations of the Treadway Commission) o del COBIT (Control Objectives for Information and Related Technologies) anche se al momento la mappa è ad una sola dimensione.
Non si tratta solo di una rappresentazione grafica fine a sé stessa ma di un vero e proprio framework da utilizzare negli strumenti fornitori da SAP ad esempio attraverso il SAP Solution Manager. Attraverso il SAP Security Baseline Template.
Cosa è il SAP Security Baseline Template?
Si tratta di un template di riferimento, derivato dalla SAP Secure Operation Map che descrive in maniera molto dettagliata tutte le azioni che SAP suggerisce per quanto riguarda la definizione di un modello security in azienda, per quanto riguarda i sistemi SAP.
Come dicevamo sopra, non è semplicemente una rappresentazione grafica ma un vero e proprio template che può essere caricato nel SAP Solution Manager e, tramite l'uso degli strumenti come i seguenti:
- Security Optimization Service
- Configuration Validation
- System Recommendations
Diventa possibile verificare se i propri sistemi produttivi sono configurati seguente la baseline di riferimento.
Attenzione, la baseline, non è legge. Si tratta solamente di un suggerimento fornito da SAP come linea guida di orientamento. Ogni regola definita deve essere valutata e calata sulla propria realtà in maniera più restrittiva o meno. Il template contiene suggerimenti anche per HANA ed i sistemi Cloud.
In questa OSS Note puoi trovare tutti i dettagli: 2253549 - The SAP Security Baseline Template
Ma quando va usato?
Non vi è alcuna ragione per aspettare. Si può attivare subito tutto per avere una prima fotografia del sistema e da lì decidere come proseguire.
Soprattutto perché i sistemi coinvolti sopra non hanno bisogno di ulteriori licenze, devono essere solamente attivati.
Ma allora serve solo attivarli per risolvere i problemi di security?
Non proprio, l'attivazione può essere fatta in qualsiasi momento. Così come la configurazione, che deve essere calata sulla propria realtà, solitamente serve sempre una fase di fine tuning.
Questi strumenti non sostituiscono altre soluzioni SAP per il completamento della SAP secure maps. Fanno sicuramente parte del disegno finale, ma non sono gli unici.
Per fare solamente un esempio, questi strumenti non permettono di controllare le tematiche di Segregation Of Duties o Identity Management, dove è chiaramente necessario avere dei prodotti adeguati.
Che cosa aspetti allora? Attivali subito!