Czy bezpieczeństwo SAP powinno być priorytetem dla organizacji?

Udostępnij

Raport firmy analitycznej KuppingerCole nie pozostawia wątpliwości. Na bezpieczeństwo przedsiębiorstwa ma wpływ przede wszystkim rozwijająca się infrastruktura IT oraz ciągle rosnący poziom zagrożeń (regularnie pojawiają się nowe możliwości przejęcia danych). Bezpieczeństwo SAP powinno stać się więc priorytetem dla każdej organizacji, korzystającej z tego systemu.

Zalecenia wynikające z analizy

Zabezpieczenie systemu SAP wymaga dziś podejścia 360 stopni. Zarządzanie dostępem użytkowników, ich rolami oraz identyfikacją naruszeń wynikających z SOD pozostaje w centrum uwagi audytorów, to tylko takie spojrzenie pozwoli zapewnić bezpieczeństwo SAP.

Wynika to ze złożoności dzisiejszych systemów, gdzie trzeba zapewnić bezpieczeństwo:

Aby zapewnić całościowe bezpieczeństwo SAP, należy:

  • określić i wdrożyć procesy bezpieczeństwa z wszystkimi właścicielami procesów (IT, specjaliści, biznes, audyt wewnętrzny) oraz włączyć ich do ogólnej polityki GRC,
  • wybrać odpowiednie podejście do zarządzania ryzykiem, bazując na identyfikacji i ocenie wszystkich możliwych zagrożeń (oraz zidentyfikowaniu odpowiednich środków zaradczych),
  • zdefiniować oraz wdrożyć silną politykę bezpieczeństwa dla wszystkich systemów, w tym SAP,
  • przetestować zabezpieczenia na każdym poziomie infrastruktury (stosując regularne audyty oraz przeprowadzając testy penetracyjne),
  • subskrybować informacje o bezpieczeństwie, aby na bieżąco otrzymywać aktualne dane o lukach i ich likwidacji,
  • zautomatyzować procesy po to, by poprawić ich efektywność i zlikwidować działania manualne (również błędy ludzkie),
  • analizować dostęp i zabezpieczenia, aby identyfikować niepożądane działania (po to, by je szybko usuwać),
  • zapewnić właścicielom istotnych procesów odpowiedni zestaw raportów i dashboardów, by mieli wgląd w istotne informacje.

Analiza KuppingerCole – 8 wniosków

WNIOSEK 1:

SAP pozwala współczesnym przedsiębiorstwom realizować procesy strategiczne i jego bezpieczeństwo jest ich priorytetem.

Na skutek rosnącego zapotrzebowania na systemy spełniające wymogi prawne i tworzące na bieżąco dokumentację głównych naruszeń danych, zwiększyła się świadomość firm związana z bezpieczeństwem. Chcą zabezpieczać swoje systemy prawidłowo i efektywnie.

WNIOSEK 2:

Utrzymanie odpowiedniego poziomu bezpieczeństwa w złożonych systemach SAP staje się coraz trudniejsze.

Organizacje mogą wybierać zarówno z mnogości aplikacji biznesowych (takich jak ERP, CRM, SRM, BI, HCM) oraz z różnych rozwiązań systemowych (HANA, ABAP, JAVA/J2EE, mobile). Tradycyjne podejście do bezpieczeństwa SAP koncentruje się na kontroli dostępu, tj. zarządzaniu uprawnianiami, autoryzacjami, użytkownikami, rolami i profilami. To nie wystarcza, aby zapewnić bezpieczeństwo.

WNIOSEK 3:

System SAP jest na tyle wyrafinowanym i złożonym rozwiązaniem, że musi być zabezpieczony na poziomie:

  • systemu operacyjnego (wymagany sprawny i przetestowany system operacyjny),
  • infrastruktury sieciowej (zabezpieczenie dostępu do systemu).
WNIOSEK 4:

Wszystkie elementy systemu SAP oraz wszystkie dodatkowe komponenty firm trzecich muszą być stale aktualizowane.

Kompleksowe informacje o wymaganych poprawkach i zagrożeniach używania starych wersji oprogramowania muszą być na bieżąco dostępne. Nieustającym wyzwaniem jest również określenie dobrych praktyk dla konfiguracji zarówno poszczególnych komponentów, jak i całościowego spojrzenia na środowisko SAP. Można zacząć od zmiany wszystkich domyślnych haseł.

WNIOSEK 5:

Ze względu na to, że luki i zagrożenia są dobrze udokumentowane, niestosowanie łatek i dobrych praktyk jest nie do zaakceptowania.

Wszystkie klienckie rozwiązania (programy rozszerzające funkcjonalności SAP) muszą zostać dokładnie przebadane. Zarządzanie uprzywilejowanymi użytkownikami (włączając mechanizmy określające dostęp dla firefigterów) to kluczowy aspekt bezpieczeństwa i musi istnieć na tym polu współpraca zarówno administratorów systemu, jak i wysoko uprzywilejowanych użytkowników biznesowych.

WNIOSEK 6:

Utrzymanie odpowiedniego poziomu bezpieczeństwa SAP to wysoko interdyscyplinarne zadanie.

Wymaga posiadania specjalistycznej wiedzy i odpowiedniej współpracy różnych zespołów (IT, specjaliści SAP, linia biznesu, wewnętrzny audyt i controlling).

WNIOSEK 7:

Określenie strategii bezpieczeństwa korporacyjnego obejmuje szeroki zakres aspektów związanych z audytem, zarządzaniem defraudacją, zarządzaniem użytkownikami i procesami.

Podejście do bezpieczeństwa ciągle się zmienia. Wykorzystywane są odpowiednio dobrane funkcje i narzędzia SAP (identyfikujące luki i wybieranie dodatkowych narzędzi i usług).

WNIOSEK 8:

Kilku producentów zapewnia zaawansowane rozwiązania do zarządzania bezpieczeństwem.

Biorąc pod uwagę wielkość infrastruktury oraz wymogi bezpieczeństwa dobrze zaprojektowane zarządzanie bezpieczeństwem ma na celu wysoki poziom automatyzacji. Wykorzystuje również mechanizmy inteligentnych analiz. Celem jest zmniejszenie działań manualnych i zwiększenie szybkości wykrywania zagrożeń i nieprawidłowości.

PODSUMOWANIE

Bezpieczeństwo SAP obejmuje przede wszystkim aspekty bezpieczeństwa przedsiębiorstw od poziomu systemu operacyjnego i infrastruktury sieciowej, zarządzania użytkownikami i procesami biznesowymi. Utrzymanie właściwego zabezpieczenia tej kluczowej dla przedsiębiorstwa infrastruktury IT wymaga podejścia 360 stopni. Zastosowanie kryteriów opartych na określeniu ryzyk możliwe jest zapewnienie odpowiednich poziomów bezpieczeństwa obejmujących ogólną strategię bezpieczeństwa wykraczającą poza środowisko SAP.

Tomasz Jurgielewicz

Head of Security Department w Lukardi. Od 10 lat prowadzi zespół specjalistów SAP Security, dostarczając kompleksowe usługi i narzędzia do zabezpieczenia systemów SAP oraz optymalizacji licencji. Doświadczenie w obszarze: - identyfikacji konfliktów uprawnień i reorganizacji autoryzacji, - identyfikacja podatności SAP, - integracja rozwiązań SIEM z SAP, - optymalizacja licencji SAP.