Raport firmy analitycznej KuppingerCole nie pozostawia wątpliwości. Na bezpieczeństwo przedsiębiorstwa ma wpływ przede wszystkim rozwijająca się infrastruktura IT oraz ciągle rosnący poziom zagrożeń (regularnie pojawiają się nowe możliwości przejęcia danych). Bezpieczeństwo SAP powinno stać się więc priorytetem dla każdej organizacji, korzystającej z tego systemu.
Zabezpieczenie systemu SAP wymaga dziś podejścia 360 stopni. Zarządzanie dostępem użytkowników, ich rolami oraz identyfikacją naruszeń wynikających z SOD pozostaje w centrum uwagi audytorów, to tylko takie spojrzenie pozwoli zapewnić bezpieczeństwo SAP.
Wynika to ze złożoności dzisiejszych systemów, gdzie trzeba zapewnić bezpieczeństwo:
WNIOSEK 1:
Na skutek rosnącego zapotrzebowania na systemy spełniające wymogi prawne i tworzące na bieżąco dokumentację głównych naruszeń danych, zwiększyła się świadomość firm związana z bezpieczeństwem. Chcą zabezpieczać swoje systemy prawidłowo i efektywnie.
WNIOSEK 2:
Organizacje mogą wybierać zarówno z mnogości aplikacji biznesowych (takich jak ERP, CRM, SRM, BI, HCM) oraz z różnych rozwiązań systemowych (HANA, ABAP, JAVA/J2EE, mobile). Tradycyjne podejście do bezpieczeństwa SAP koncentruje się na kontroli dostępu, tj. zarządzaniu uprawnianiami, autoryzacjami, użytkownikami, rolami i profilami. To nie wystarcza, aby zapewnić bezpieczeństwo.
WNIOSEK 3:
Wszystkie elementy systemu SAP oraz wszystkie dodatkowe komponenty firm trzecich muszą być stale aktualizowane.
Kompleksowe informacje o wymaganych poprawkach i zagrożeniach używania starych wersji oprogramowania muszą być na bieżąco dostępne. Nieustającym wyzwaniem jest również określenie dobrych praktyk dla konfiguracji zarówno poszczególnych komponentów, jak i całościowego spojrzenia na środowisko SAP. Można zacząć od zmiany wszystkich domyślnych haseł.
Ze względu na to, że luki i zagrożenia są dobrze udokumentowane, niestosowanie łatek i dobrych praktyk jest nie do zaakceptowania.
Wszystkie klienckie rozwiązania (programy rozszerzające funkcjonalności SAP) muszą zostać dokładnie przebadane. Zarządzanie uprzywilejowanymi użytkownikami (włączając mechanizmy określające dostęp dla firefigterów) to kluczowy aspekt bezpieczeństwa i musi istnieć na tym polu współpraca zarówno administratorów systemu, jak i wysoko uprzywilejowanych użytkowników biznesowych.
Utrzymanie odpowiedniego poziomu bezpieczeństwa SAP to wysoko interdyscyplinarne zadanie.
Wymaga posiadania specjalistycznej wiedzy i odpowiedniej współpracy różnych zespołów (IT, specjaliści SAP, linia biznesu, wewnętrzny audyt i controlling).
Określenie strategii bezpieczeństwa korporacyjnego obejmuje szeroki zakres aspektów związanych z audytem, zarządzaniem defraudacją, zarządzaniem użytkownikami i procesami.
Podejście do bezpieczeństwa ciągle się zmienia. Wykorzystywane są odpowiednio dobrane funkcje i narzędzia SAP (identyfikujące luki i wybieranie dodatkowych narzędzi i usług).
Kilku producentów zapewnia zaawansowane rozwiązania do zarządzania bezpieczeństwem.
Biorąc pod uwagę wielkość infrastruktury oraz wymogi bezpieczeństwa dobrze zaprojektowane zarządzanie bezpieczeństwem ma na celu wysoki poziom automatyzacji. Wykorzystuje również mechanizmy inteligentnych analiz. Celem jest zmniejszenie działań manualnych i zwiększenie szybkości wykrywania zagrożeń i nieprawidłowości.
Bezpieczeństwo SAP obejmuje przede wszystkim aspekty bezpieczeństwa przedsiębiorstw od poziomu systemu operacyjnego i infrastruktury sieciowej, zarządzania użytkownikami i procesami biznesowymi. Utrzymanie właściwego zabezpieczenia tej kluczowej dla przedsiębiorstwa infrastruktury IT wymaga podejścia 360 stopni. Zastosowanie kryteriów opartych na określeniu ryzyk możliwe jest zapewnienie odpowiednich poziomów bezpieczeństwa obejmujących ogólną strategię bezpieczeństwa wykraczającą poza środowisko SAP.
WARTO PRZECZYTAĆ NA TEMAT BEZPIECZEŃSTWA SAP: