SAP Security Methodology

Cosa significa avere una metodologia per la gestione della security SAP?

Cosa è AGLEA - DMA e come funziona? Lo scopriamo oggi!

Cosa è Aglea DMA e cosa significa?

Si tratta di un framework che permette alle aziende di avviare un presidio concreto sulle tematiche di sicurezza in ambito dei sistemi SAP. Alcuni dei pillar possono essere chiaramente applicati anche ad altri sistemi.

DMA è l'acronimo di: Design - Measure - Adapt

Come puoi farlo?

Per poter applicare questo paradigma servono alcuni pre-requisiti se applicato alle aree seguenti

• Devi avere un modello autorizzativo basato sul concetto di figura professionale (RBAC Role Based Access Control). 
• Devi avere una policy di riferimento per quanto riguarda l'applicazione delle patch di sicurezza e la verifica delle configurazioni dei sistemi
• Nel caso di gestione della Segregation Of Duties (SoD) devi aver definito una matrice dei rischi

Sostanzialmente i prerequisiti servono per poter creare delle regole di controllo. Ad esempio, in una situazione dove di fatto non esiste un modello autorizzativo è difficile definire dei criteri di controllo.

Meno fondamentale nel caso in cui ci siano da controllare delle configurazioni, qui è sufficiente svolgere il controllo puntuale. Tuttavia, serve sapere cosa controllare e dove posizionare "l'asticella", infatti, alcune configurazioni possono essere adeguante in alcuni contesti ma non sufficienti in altre.

Quali sono i touch point fondamentali dei tre pillar?

Abbiamo diviso i vari controlli o touch point nelle seguenti aree:

• Sicurezza applicativa/Compliance (qui rientrano ad esempio la profilazione, la gestione della segregation Of Duties, il rispetto delle policy interne o normative es. GxP o GDPR etcc)
  
  
• Cyber Security, ovvero tutti quegli aspetti di configurazione che riguardano ad esempio la crittografia dei dati at rest ed in transito, l'accessibilità e la protezione dall'interno o esterno, la verifica delle vulnerabilità 

In che cosa consiste e qual è il suo ruolo?

L'idea che spinge ad operare con questo framework di lavoro è quella di ottenere una roadmap strategia degli interventi da fare nel corso del tempo e soprattutto poterli controllare ed adattare.

Quindi il focus maggiore non è solo nella parte di Design ma soprattutto di Measure ed Adapt. Ogni azienda modifica la sua forma, il suo business, le proprie strategie nel corso del tempo. Questo è assolutamente normale e positivi.

Tuttavia, non sempre questi cambiamenti vengono recepiti dai modelli attuali nel corso del tempo. Questo può quindi essere soggetto a diversi problemi:

• Persone che si alternano nel tempo (quindi perdita delle competenze o sensibilità diverse)
• ROI (Return Of Investment) difficile da calcolare
• Condivisione degli obiettivi tra dipartimenti (es. IT vs IT Security vs Compliance)

Abbiamo visto nel corso del tempo che se non viene posta attenzione sul controllare ed adeguare, dopo le fasi precedenti, spesso anche un lavoro di disegno ottimale, perde la propria efficacia. Diventando obsoleto nel giro di poco tempo nella migliore delle opzioni.

Cosa fare quindi?

1. Identifica degli obiettivi e pianifica le azioni per raggiungerli, anche a piccoli step gradualmente. Può capitare che alcuni progetti siano troppo estesi per affrontarli tutti in unico passaggio
2. Definisci per ogni attività progettuale quale saranno le metriche di misura, di avanzamento e di mantenimento del risultato raggiunto
3. Controlla costantemente le metriche definite, se possibile con strumenti automatici di controllo