Ci sono molti significati dietro la parola SAP Security. Sono infatti tantissime le possibili attività riguardo a questo argomento.
Ma da dove conviene iniziare per evitare di non raggiungere la vetta? Qual è la vetta da raggiungere?
Ricordati che per chi scala una montagna, raggiungere la vetta è solo il 50% del viaggio. Bisogna anche saper ritornare.
Solo allora è possibile dire di aver compiuto tutto quanto.
Quando progetti il tuo sistema di gestione della sicurezza in SAP, non pensare solo alla partenza ed all'arrivo ma contempla anche la continuità nel tempo delle azioni.
Cosa significa SAP Security?
Potremmo ipotizzare almeno tre grandi aree:
- Sicurezza applicativa
- Sicurezza infrastrutturale
- Sicurezza degli sviluppi
Sicurezza Applicativa
Riguarda tutti gli aspetti di sicurezza all'interno del prodotto SAP. La gestione delle utenze e dei ruoli autorizzativi al loro interno. Ovvero quello che viene chiamato "Authorization Concept", il concetto autorizzativo definito in SAP.
- Come hai costruito il tuo concetto autorizzativo? Si basa sulla figura professionale?
- Hai rimosso tutti gli utenti con profili SAP_ALL? Leggi questo articolo!
- Hai definito un documento di linee guida Security SAP?
- Hai definito una matrice di Separazione dei compiti (SoD)?
- Hai attivato tutti i log standard che SAP mette a disposizione?
Sicurezza infrastrutturale
Ovvero tutte quelle azioni che servono a rendere più sicura la comunicazione dei dati tra i sistemi, la crittografia dei dati (database o log ad esempio). In aggiunta la fase di autenticazione ai sistemi.
- Hai un database HANA, hai attivato la crittografia? Leggi qui per approfondimento su database HANA.
- Gli utenti si autenticano e scambiano i dati in maniera sicura con SAP?
- Hai il controllo di tutti i servizi attivi che vengono richiamati da sistemi terzi per leggere o esportare dati da SAP?
- Hai collegato il tuo SIEM al/ai sistemi SAP?
- Applichi periodicamente le patch security SAP ai tuoi sistemi?
Sicurezza degli sviluppi
La sicurezza applicativa si basa su quanto viene scritto nei programmi. Esistono infatti delle best practice di programmazione sicura che permettono di avere un concetto autorizzativo completo.
Quanto sopra può essere vero se queste linee guida di programmazione sicura sono applicate, altrimenti, in alcuni casi potrebbero vanificare tutti gli aspetti di sicurezza applicativa.
- Controlli che sviluppatori esterni rispettino le linee guida security SAP?
- Controlli che ogni sviluppo interno rispetti le linee guida sulla sicurezza SAP?
Quanto sopra non è affatto semplice da fare, anche se hai relativamente pochi sviluppi SAP. Ti serve un personale molto specializzato e con una notevole disponibilità di tempo, per leggere e capire tutti i programmi da analizzare.
Sicuramente l'ausilio di uno strumento che automatizza questi controlli può essere utile. SAP ha creato un sistema chiamato SAP CVA Code Vulnerability Analysis per analizzare tutti gli sviluppi.
Guarda anche qui
Da dove partire?
Sono davvero moltissimi gli aspetti da controllare. Parti con un audit per avere una fotografica dello stato di salute del tuo sistema.
Alcune attività possono essere sistemate facilmente, altre probabilmente richiedono uno specifico progetto.
Leggi qui per capire in che cosa consiste un audit SAP Security. Come devi selezionare eventuali fornitori per questo servizio? Leggilo qui!