Säkerhetsrevision av SAP-system
- Säkerhet
Jak przekuć myśl oraz planowanie w konkretne działanie przynoszące korzyść przedsiębiorstwu?
Dzięki narzędziu SAST wykrycie potencjalnych nieprawidłowości oraz zagrożeń jest łatwe, szybkie
i wyczerpujące.
Zakres audytu bezpieczeństwa systemu SAP
W naszej pracy realizujemy audyty bezpieczeństwa systemów SAP w oparciu o najlepsze praktyki dotyczące projektów bezpieczeństwa SAP dla systemów SAP w odniesieniu do ISO 27001. Podczas audytu sprawdzane i analizowane są wszystkie istotne elementy systemu (stos ABAP, stos Java, system operacyjny, baza danych) oraz ustawienia SAP i autoryzacje użytkownika.
Audyt jest przeprowadzany przy użyciu certyfikowanego przez SAP narzędzia bezpieczeństwa SAST.
Zakres badania obejmuje ponad 3.000 kontroli dotyczących następujących obszarów
- Kontrola dostępu do systemu
- Badanie bezpieczeństwa na poziomie systemu operacyjnego i bazy danych
- Sprawdzenie standardowych użytkowników i haseł
- Kontrola parametrów i ustawień SAP
- Badanie konfiguracji internetowej i ustawień kryptograficznych
- Ocena krytycznych autoryzacji systemu SAP na podstawie ustawień domyślnych SAST
- Weryfikacja autoryzacji SAP w odniesieniu do krytycznych autoryzacji i konfliktów podziału obowiązków
Wszystkie przeprowadzone weryfikacje i ujawnione luki zestawiamy w sprawozdaniu pokontrolnym podlegającym ocenie klienta, a następnie przedstawiamy i wyjaśniamy klientowi podczas warsztatów dotyczących wyników i opracowania planu naprawczego.
Etapy audytu bezpieczeństwa SAP
Jak wyglądają poszczególne etapy Audytu Bezpieczeństwa? Ile to wszystko trwa?
Na co musimy się przygotować?
- Przygotowania do audytu rozpoczynają się stworzeniem koncepcji oraz planu przebiegu weryfikacji na systemie. W tym zakresie działamy wspólnie z klientem, zwracając uwagę na najbardziej krytyczne aspekty bezpieczeństwa w organizacji.
- Następnie należy przygotować system pod kątem technicznym (import transportów SAST).
Nasz zespół konfiguruje narzędzie i uruchamia raporty kontrolne. - Naszym kolejnym działaniem jest analiza raportów wygenerowanych z badanych systemów.
- Sporządzenie dokumentacji z wynikami kontrolnymi oraz rekomendacjami zmian również przygotowuje nasz zespół bezpieczeństwa.
- Omówienie i przedstawienie wyników z klientem. Wspólne tworzenie planu naprawczego zakłada uzgodnienie wyników i zaleceń z działami biorącymi udział w audycie. Istnieje możliwość określenia terminów realizacji rekomendacji i nadzór nad wdrożeniem zmian.
Jeśli chodzi o czasochłonność przeprowadzenia wyżej opisanego audytu, trwa on około dwa tygodnie. Należy jednak wziąć pod uwagę dostępność własnych zasobów wewnętrznych, tak aby
w najbardziej optymalny sposób móc się pochylić nad aspektami związanymi z bezpieczeństwem.
Wyniki kontrolne audytu bezpieczeństwa systemu SAP
Wyniki audytu przekazujemy klientowi w formie elektronicznej (Microsoft Word lub Excel).
Dodatkowo przedstawiamy je w siedzibie klienta podczas spotkania podsumowującego w formie prezentacji. Bardzo ważne jest, aby na spotkaniu byli obecni reprezentanci lub opiekunowie procesów poszczególnych działów, których procesy były weryfikowane w ramach audytu.
Sporządzona dokumentacja zawiera następujące informacje:
- Listę zbadanych komponentów oraz, w razie potrzeby, innych systemów podlegających badaniu,
w tym okres przeprowadzania kontroli i procedury kontroli - Krótki opis wyników kontrolnych (stopień odchylenia od zalecanego scenariusza, zgodnie
ze specyfiką klienta lub jak podano w najlepszych praktykach) - Szczegółowy opis wyników kontrolnych (przyczyny i skutki/ryzyko), w tym wyjaśnienie odchyleń względem klienta, przepisów prawa lub dobrych praktyk
- Zalecenia dotyczące usunięcia określonych luk (np. zmiany w koncepcji, aktualizacje oprogramowania, dostosowanie konfiguracji).
Po audycie bezpieczeństwa systemu SAP
Po przeprowadzeniu weryfikacji, nasz zespół powołuje osobę kontaktową służącą pomocą
w przypadku jakichkolwiek zapytań. Wsparcie obejmuje okres kilku tygodni od momentu przekazaniu pisemnych wyników kontrolnych.
Jeśli zastanawiasz się nad zbadaniem aktualnego stanu systemu SAP pod kątem bezpieczeństwa jednak skala problemów z perspektywy rozmiaru środowiska oraz złożoności procesów wywołuje wątpliwości – proszę dłużej nie zwlekać. Pomożemy, przeprowadzimy audyt i w klarowny sposób przedstawimy wyniki oraz plan naprawczy.
Więcej z kategorii
- Säkerhet

