Audyt bezpieczeństwa systemów SAP

Jak się do niego przygotować z SAST i jakie przynosi korzyści dla organizacji?

Każda myśl dotycząca zwiększenia bezpieczeństwa w organizacji, która przybiera formę planu lub chociażby dyskusji jest godna uwagi.

Jak jednak przekuć myśl oraz planowanie w konkretne działanie przynoszące korzyść przedsiębiorstwu?

Dzięki narzędziu SAST wykrycie potencjalnych nieprawidłowości oraz zagrożeń jest łatwe, szybkie
i wyczerpujące.

Zakres audytu bezpieczeństwa systemu SAP

W naszej pracy realizujemy audyty bezpieczeństwa systemów SAP w oparciu o najlepsze praktyki dotyczące projektów bezpieczeństwa SAP dla systemów SAP w odniesieniu do ISO 27001. Podczas audytu sprawdzane i analizowane są wszystkie istotne elementy systemu (stos ABAP, stos Java, system operacyjny, baza danych) oraz ustawienia SAP i autoryzacje użytkownika.
Audyt jest przeprowadzany przy użyciu certyfikowanego przez SAP narzędzia bezpieczeństwa SAST.

Zakres badania obejmuje ponad 3.000 kontroli dotyczących następujących obszarów

• Kontrola dostępu do systemu
• Badanie bezpieczeństwa na poziomie systemu operacyjnego i bazy danych
• Sprawdzenie standardowych użytkowników i haseł
• Kontrola parametrów i ustawień SAP
• Badanie konfiguracji internetowej i ustawień kryptograficznych
• Ocena krytycznych autoryzacji systemu SAP na podstawie ustawień domyślnych SAST
• Weryfikacja autoryzacji SAP w odniesieniu do krytycznych autoryzacji i konfliktów podziału obowiązków

Wszystkie przeprowadzone weryfikacje i ujawnione luki zestawiamy w sprawozdaniu pokontrolnym podlegającym ocenie klienta, a następnie przedstawiamy i wyjaśniamy klientowi podczas warsztatów dotyczących wyników i opracowania planu naprawczego.

Etapy audytu bezpieczeństwa SAP

Jak wyglądają poszczególne etapy Audytu Bezpieczeństwa? Ile to wszystko trwa?
Na co musimy się przygotować?

• Przygotowania do audytu rozpoczynają się stworzeniem koncepcji oraz planu przebiegu weryfikacji na systemie. W tym zakresie działamy wspólnie z klientem, zwracając uwagę na najbardziej krytyczne aspekty bezpieczeństwa w organizacji.
• Następnie należy przygotować system pod kątem technicznym (import transportów SAST).
  Nasz zespół konfiguruje narzędzie i uruchamia raporty kontrolne.
• Naszym kolejnym działaniem jest analiza raportów wygenerowanych z badanych systemów.
• Sporządzenie dokumentacji z wynikami kontrolnymi oraz rekomendacjami zmian również przygotowuje nasz zespół bezpieczeństwa.
• Omówienie i przedstawienie wyników z klientem. Wspólne tworzenie planu naprawczego zakłada uzgodnienie wyników i zaleceń z działami biorącymi udział w audycie. Istnieje możliwość określenia terminów realizacji rekomendacji i nadzór nad wdrożeniem zmian.

Jeśli chodzi o czasochłonność przeprowadzenia wyżej opisanego audytu, trwa on około dwa tygodnie. Należy jednak wziąć pod uwagę dostępność własnych zasobów wewnętrznych, tak aby
w najbardziej optymalny sposób móc się pochylić nad aspektami związanymi z bezpieczeństwem.

Wyniki kontrolne audytu bezpieczeństwa systemu SAP

Wyniki audytu przekazujemy klientowi w formie elektronicznej (Microsoft Word lub Excel).
Dodatkowo przedstawiamy je w siedzibie klienta podczas spotkania podsumowującego w formie prezentacji. Bardzo ważne jest, aby na spotkaniu byli obecni reprezentanci lub opiekunowie procesów poszczególnych działów, których procesy były weryfikowane w ramach audytu.

Sporządzona dokumentacja zawiera następujące informacje:

• Listę zbadanych komponentów oraz, w razie potrzeby, innych systemów podlegających badaniu,
  w tym okres przeprowadzania kontroli i procedury kontroli
• Krótki opis wyników kontrolnych (stopień odchylenia od zalecanego scenariusza, zgodnie
  ze specyfiką klienta lub jak podano w najlepszych praktykach)
• Szczegółowy opis wyników kontrolnych (przyczyny i skutki/ryzyko), w tym wyjaśnienie odchyleń względem klienta, przepisów prawa lub dobrych praktyk
• Zalecenia dotyczące usunięcia określonych luk (np. zmiany w koncepcji, aktualizacje oprogramowania, dostosowanie konfiguracji).

Po audycie bezpieczeństwa systemu SAP

Po przeprowadzeniu weryfikacji, nasz zespół powołuje osobę kontaktową służącą pomocą
w przypadku jakichkolwiek zapytań. Wsparcie obejmuje okres kilku tygodni od momentu przekazaniu pisemnych wyników kontrolnych.

Jeśli zastanawiasz  się  nad zbadaniem aktualnego stanu systemu SAP pod kątem bezpieczeństwa jednak skala problemów z perspektywy rozmiaru środowiska oraz złożoności procesów wywołuje wątpliwości – proszę dłużej nie zwlekać. Pomożemy, przeprowadzimy audyt i w klarowny sposób przedstawimy wyniki oraz plan naprawczy.

autor: Bernadeta Szwarc /Sast Polska Team/

-------------------------------------------------------------------------------------------------

WARTO PRZECZYTAĆ RÓWNIEŻ NA TEMAT BEZPIECZEŃSTWA SAP:

• SAP słownik pojęć
• Co to jest SAP
• SECPOL SAP
• SAST to najlepsze zabezpieczenie systemu SAP?
• Monitoring użytkowników SAP
• Luka bezpieczeństwa powodem cyberataku
• Koncepcje autoryzacji w systemie SAP
• Jak zadbać o bezpieczeństwo SAP?
• Bezpieczne hasło SAP
• Jak podnieść bezpieczeństwo systemu SAP związane z logowaniem?
• Przyczyny wycieku danych
• Noty SAP
• Bezpieczeństwo SAP
• Czy bezpieczeństwo systemu SAP jest ważne?
• Od czego zacząć bezpieczeństwo SAP?
• Backupy a cyberbezpieczeństwo
• SAST - korzyści
• SAST - autoryzacje użytkowników SAP