Cosa significa impostare un servizio di SAP Security?
Quali sono in punti di attenzione da considerare e come farlo? Perché può essere utile pensarci?
Perché l'esigenza di questo servizio?
Perché da tempo stiamo lavorando assieme ai nostri clienti per configurare un servizio nell'ottica di avere un moderno IT. Ma cosa significa?
Sempre di più in questo periodo ci sono cambiamenti della tecnologia, del modo di pensare e progettare ed anche del modo di gestire e controllare. Questo porta spesso le aziende a porsi in un'ottica più strategica rispetto a quella più tradizionale operativa.
Ovvero molti dei servizi IT sono esternalizzati. In altre parole, l'idea è quella di tenere comunque il know-how all'interno ma cambiandone la prospettiva, in un'ottica più strategica e di governo.
Sarebbe infatti molto complesso o comunque richiederemmo davvero molte risorse per avere a disposizione un gruppo completamente interno che conosca ad un livello molto approfondito tutti gli strumenti in uso. Non è facile e comune trovare questa situazione. Inoltre, potrebbe essere rischioso, specialmente durante i periodi di ferie o di turnover ad esempio.
Cosa significa SAP Security as a Service? Come è formato?
Si tratta di una serie di servizi modulari che possono essere attivati, tutti assieme o in combinazione. Non necessariamente come mostrato nella figura sotto.
L'idea alla base è quella di fornire un supporto completo per quanto riguarda gli aspetti di protezione e gestione dei dati all'interno dei sistemi SAP, siano essi on-premise oppure cloud.
Partendo quindi dal basso abbiamo quindi
- Check-Up. Quella che noi chiamiamo la base line, ovvero il controllo che il modello autorizzativo implementato sia conforme alle regole stabilite. Per diversi clienti svolgiamo questo servizio (anche dove non siamo noi ad aver progettato il modello autorizzativo). In questi casi è spesso il cliente stesso che gestisce l'operatività quotidiana del modello. L'utilità sta nel fatto di avere un controllo "terzo" di verifica periodica che sia tutto come ci si aspetta
- AMS. Si tratta di avere a disposizione un gruppo di persone che quotidianamente si prende in carico la gestione del modello autorizzativo in base alle procedure definite. Questo chiaramente non esclude la possibilità di attivare gli ulteriori controlli successivi o il check up stesso. Dove con dei controlli pre-stabiliti diventa facile individuare eventuali anomalie o errori generati durante la manutenzione ordinaria. Si, purtroppo non è possibile evitare che questo accada (è quindi è fondamentale stabilire dei controlli periodici sul modello)
- Compliance. In questo caso, attivabile singolarmente o in aggiunta agli altri riguarda tutti quei controlli di conformità alle normative o policy interne. Ovvero ad esempio la tematica della separazione dei compiti (Segregation Of Duties) nelle sue sfaccettature ovvero non solo le verifiche di risk analysis ma anche l'eventuale gestione dei controlli mitigativi e verifiche di conformità continua. In questo servizio rientrano anche le verifiche a fronte di normative/standard specifiche, ad esempio, GxP o unbundling o GDPR ad esempio
- Full
- SAP Security. In questo caso non vengono solamente attivati i servizi già descritti ma ulteriori verifiche che possono essere ad esempio l'implementazione dei controlli di sicurezza del codice ABAP o la verifica continuativa/costante (Vulnerability Management) delle configurazioni del sistema così come la gestione delle alert di sicurezza, verso un SIEM ad esempio, Threat Detection.
-
- SAP Fraud Management. Così come gli aspetti di Threat Detection possono riguardare la superficie di attacco più tecnica. Anche gli aspetti più organizzativi e quindi legati alle frodi aziendali devono essere presidiate. Per questo motivo è importante controllare costantemente che all'interno dei sistemi non si verifichino delle situazioni a rischio, prevendendole se possibile all'insorgere
Alcune domande (e risposte) comuni
- Sono costretto ad attivare tutti le opzioni del servizio es. Full?
- No, ogni opzione è attivabile singolarmente. È possibile, inoltre, decidere in autonomia le varie combinazioni
- Come è possibile che si riesca a coprire una così vasta area?
- È possibile in quanto abbiamo definito un team di riferimento per le varie attività offerte dal servizio, che si occupa in maniera verticale (pur conoscendo anche gli altri argomenti) della tematica
- Si tratta di servizi di consulenza?
- Si, sono servizi di consulenza, ma possono in alcuni casi richiedere dei software per poter essere espletati. In alcuni casi rientrano nel servizio stesso. In questo modo non ci sono hardware o licenze ulteriori da acquistare
- Per quale motivo non vedo il costo?
- È difficile a priori definire un costo per ogni servizio che sia applicabile ad ogni contesto. Per questo motivo è necessario studiare la richiesta nel contesto aziendale, a seguito è possibile formulare un valore di riferimento. Che tendenzialmente sarà a canone. Vedi anche qui per le metriche
- Che durata hanno questi servizi?
- Viene definito nel contratto, solitamente da un anno a più anni
- Sono presenti degli SLA ed orari di servizio?
- Si sono presenti e vengono definiti nel contratto, sia SLA (Service Level Agreements) sia orari e giorni del servizio
- Abbiamo già in azienda alcuni servizi o strumenti, È comunque possibile attivare i servizi?
- Si, in diversi casi i clienti hanno già alcuni strumenti proprietari o di mercato su alcune delle aree sopra. Nessun problema, se manca possiamo proporre noi strumenti o servizi, altrimenti possiamo utilizzare quelli già presenti in azienda
- È prevista una fase iniziale di presa in carico del servizio?
- Si, nel momento in cui non conosciamo già il cliente viene solitamente previsto un periodo di presa in carico del sistema dai 3 ai 6 mesi a seconda della complessità e contesto
- È previsto un supporto multi-lingua?
- Sì, in Italiano ed Inglese. Da valutare ulteriori lingue richieste
- Una volta che deleghiamo a voi ci dimentichiamo dei problemi?
- Purtroppo, no o comunque non in tutti casi. La scelta di decidere chi fa cosa rimane sempre all'azienda
- È inoltre possibile che a fronte di vulnerabilità sia necessario attivare altri team di lavoro, ad esempio sistemistici o anche applicativi. In questo caso non possiamo sostituirci ai rispettivi gruppi di competenza