AGLEA SAP Security Blog

SAP Security Routine

Scritto da Massimo Manara | Apr 19, 2022 10:00:00 PM

Atul Gawande, medico chirurgo, nel libro "Checklist. Come fare andare meglio le cose" [2011] o nel titolo originale "The Checklist Manifesto" descrive quanto sia importante l'utilizzo delle liste di controllo

Fondamentali non solo nell'ambito medico, ma potenzialmente in qualsiasi ambito. Ma quale legame con la gestione della security SAP?

Quanti controlli devi fare in SAP?

Non parlo di tutti i possibili controlli processo per processo. Ma "solamente" quelli legati alla gestione della protezione dei dati aziendali. Quindi tutti quei controlli, spesso tecnici che devono essere svolti.

 

Ma quanti sono? Non pochi sicuramente, proviamo a citarne alcuni:

  • Controllo produzione log (ti sei mai chiesto se quando va in errore qualcosa, ad esempio finito lo spazio su disco o ipotizzato o job fondamentale per avere i log) ci sia un controllo di questo tipo?
  • Controllo dei parametri di sistema, qui sia pre una area molto estesa
    • Controllo attivazione dei log sulle tabelle
    • Controllo della complessità password (se usata). Leggi qui qualche consiglio sulla gestione della password in SAP
    • Gestione delle Access Control List (ACL) ad esempio Gateway, Message Server
    • Conformità licensing SAP (logon multipli)
    • Attivazione del Security Audit Log
  • Review dei log prodotti
  • Difformità del modello autorizzativo implementato, ad esempio
    • Utenti con ruoli fuori naming convention assegnati
    • Ruoli fuori dalla naming convention definita
    • Oggetti autorizzativi considerati critici attivi ed assegnati
    • Metriche rispetto ai ruoli (ma quando ruoli ci devono essere in azienda?)
  • Controllo utenti non usati (possibile attività di riduzione licenze) o mancato allineamento con le risorse umane
  • Autorizzazioni/Ruoli critici assegnati impropriamente 
  • ...

 

Sono solo un sottoinsieme, ma la sola verifica di quelli presenti sopra potrebbe richiedere svariate ore di lavoro, soprattutto nel caso in cui siano presenti più sistemi SAP coinvolti.

 

In quanti modi possono essere fatti?

Esistono diversi modi. Utilizzando delle macrocategorie, come nel caso generale di tutti i controlli:

  • Manuali
  • Automatici
  • Semi-Automatici

 

Ma quale la differenza tra le tipologie sopra? In realtà in tutti i modi sopra si raggiunge lo stesso risultato. Cambia chiaramente il tempo che si impiega. Ma non è l'unico aspetto.

 

Chiaramente i controlli manuali vengono svolti completamente in maniera manuale dalle persone, i controlli automatici sono svolti dal sistema e, ad esempio, ci vengono notificate difformità da quanto previsto, mentre i semi-automatici sono una via di mezzo, qualcosa che avviene in automatico ma che a seguito serve un intervento umano.

 

L'ideale sarebbe avere solamente controlli automatici, ma questo non è sempre possibile. 

 

Quanto tempo richiede fare tutti i controlli?

Se sai quali sono (anche se può essere una domanda scontata non è sempre così) e quanti sono, allora conosci di che volumi stiamo parlando. 

 

Servono parecchie ore di lavoro, spesso da moltiplicare per i vari sistemi, società, paesi etcc. 

 

Per questo motivo è importante:

  • identificare che controlli svolgere ed i loro principali attributi, ad esempio:
    • Owner
    • Frequenza del controllo (annuale, semestrale, mensile etcc)
    • La o le normative di riferimento o policy interne associate (quelle che nel software SAP GRC vengono definite come "Regulation"
  • classificare i controlli per tipologia
  • Identificare le condizioni per le quali un controllo è superato o meno

 

Ma dove e come censire i controlli definiti?

La soluzione più semplice e spesso utilizzata è quella di definire un foglio elettronico, dove andare a censire i dati e le informazioni descritte in precedenza. 

 

Tuttavia, nel corso del tempo abbiamo notato che non è la soluzione migliore, per diversi motivi, tra i principali:

  • Nel caso di traduzioni, non è semplice gestirle in un foglio elettronico (le informazioni possono essere duplicate)
  • Non vi è un controllo univoco delle informazioni e dei dati
  • Non vi è una chiara ownership dei dati, spesso chiunque, anche erroneamente ed involontariamente può entrare nel file e modificare dati
  • Nel caso in cui il file sia bloccato da un utente, non si può utilizzare
  • Non vi è una tracciabilità completa delle informazioni

 

In parte alcune delle note sopra possono essere mitigate con funzioni aggiuntive dei fogli elettronici, tuttavia non risolvono completamente questi scenari.

 

Diventa quindi fondamentale avere a disposizione uno strumento che permetta di censire e gestire i controlli aziendali. Nel caso di SAP questo strumento viene chiamato SAP GRC Process Control. Questo strumento permette di gestire non solo i controlli relativi alla security SAP ma anche i controlli sui processi più disparati (da quelli amministrativi, es SoX a quelli legati al GDPR o ad altre regolamentazioni).

 

Ti segnalo che esistono degli strumenti specifici di SAP (inclusi nella suite, quindi non soggetti a licenze ulteriori) come il Configuration Validation ed il Secure Optimization Service (SAP SOS). Che possono essere sfruttati per le tematiche più specifiche alla sicurezza dei sistemi SAP.

 

Relativamente a questi aspetti esistono inoltre anche strumenti terzi presenti sul mercato, come ad esempio la suite di Onapsis o SecurityBridge.

 

E se non hai strumenti cosa fare?

Inizia a censire i controlli (SAP Control) che puoi fare periodicamente, la tua "routine". Inizia ad utilizzare i software già inclusi nella suite, citati sopra, valuta a seguito gli strumenti specifici a pagamento.

 

 

 
Visualizza articolo completo