Bör SAP-säkerhet vara en prioritet för organisationen?

För att säkerställa den övergripande SAP-säkerheten bör du:

• definiera och implementera säkerhetsprocesser med alla processägare (IT, specialister, affärsverksamhet, internrevision) och inkludera dem i den övergripande GRC-policyn,
• välja en lämplig riskhanteringsmetod, baserad på identifiering och bedömning av alla möjliga risker (och identifiering av lämpliga motåtgärder),
• definiera och implementera en stark säkerhetspolicy för alla system, inklusive SAP,
• testa säkerheten på alla nivåer i infrastrukturen (med hjälp av regelbundna revisioner och penetrationstester),
• prenumerera på säkerhetsinformation för att hålla dig uppdaterad om sårbarheter och hur de åtgärdas,
• automatisera processer för att förbättra deras effektivitet och eliminera manuella aktiviteter (inklusive mänskliga fel),
• analysera åtkomst- och säkerhetsfunktioner för att identifiera oönskade aktiviteter (så att de snabbt kan tas bort),
• förse ägare av relevanta processer med en lämplig uppsättning rapporter och instrumentpaneler så att de får en överblick över relevant information.

KuppingerCole-analys - 8 slutsatser

TILLÄMPNING 1:

SAP gör det möjligt för dagens företag att implementera strategiska processer och dess säkerhet är deras högsta prioritet.

Som en följd av den ökande efterfrågan på system som uppfyller lagkrav och skapar aktuell dokumentation av större dataintrång har säkerhetsmedvetenheten ökat bland företagen. De vill säkra sina system på ett korrekt och effektivt sätt.

FÖRSLAG 2:

Det blir allt svårare att upprätthålla en adekvat säkerhetsnivå i komplexa SAP-system.

Organisationer kan välja mellan både en mängd olika affärsapplikationer (t.ex. ERP, CRM, SRM, BI, HCM) och olika systemlösningar (HANA, ABAP, JAVA/J2EE, mobil). Det traditionella tillvägagångssättet för SAP-säkerhet fokuserar på åtkomstkontroll, dvs. hantering av auktorisationer, behörigheter, användare, roller och profiler. Detta är inte tillräckligt för att garantera säkerheten.

SLUTSATS 3:

SAP-systemet är en så sofistikerad och komplex lösning att det måste skyddas på en viss nivå:

• operativsystem (fungerande och testat operativsystem krävs),
• nätverksinfrastruktur (säkra tillgången till systemet).

SLUTSATS 4:

Alla delar av SAP-systemet och alla ytterligare komponenter från tredje part måste uppdateras kontinuerligt.

Omfattande information om nödvändiga patchar och riskerna med att använda gamla programvaruversioner måste finnas tillgänglig på löpande basis. Det är också en ständig utmaning att identifiera god praxis för konfigurering av både enskilda komponenter och den övergripande bilden av SAP-miljön. Man kan börja med att ändra alla standardlösenord.

SLUTSATS 5:

Med tanke på att sårbarheterna och hoten är väldokumenterade är det oacceptabelt att inte tillämpa korrigeringar och god praxis.

Alla klientlösningar (programvarutillägg till SAP-funktionalitet) måste testas noggrant. Hantering av privilegierade användare (inklusive mekanismer för att definiera åtkomst för brandfilter) är en viktig aspekt av säkerheten, och det måste finnas ett samarbete på denna front mellan systemadministratörer och högt privilegierade affärsanvändare.

SLUTSATS 6:

Att upprätthålla en adekvat säkerhetsnivå för SAP är en mycket tvärvetenskaplig uppgift.

Det kräver expertis och lämpligt samarbete mellan olika team (IT, SAP-specialister, affärsområden, internrevision och controlling).

SLUTSATS 7:

Att definiera en säkerhetsstrategi för ett företag omfattar ett brett spektrum av aspekter som rör revision, hantering av förskingring, användarhantering och processer.

Säkerhetstänkandet är under ständig förändring. Lämpliga SAP-funktioner och verktyg används (identifiera luckor och välj ytterligare verktyg och tjänster).

SLUTSATS 8:

Flera tillverkare tillhandahåller avancerade lösningar för säkerhetshantering.

Med tanke på infrastrukturens storlek och säkerhetskraven strävar en väl utformad säkerhetshantering efter en hög grad av automatisering. Den använder sig också av intelligenta analysmekanismer. Målet är att minska de manuella aktiviteterna och öka hastigheten för att upptäcka hot och avvikelser.

SAMMANFATTNING

SAP-säkerhet omfattar främst aspekter av företagssäkerhet från operativsystemet och nätverksinfrastrukturnivån, användarhantering och affärsprocesser. För att upprätthålla rätt säkerhet för denna viktiga IT-infrastruktur krävs ett 360-graders angreppssätt. Med hjälp av kriterier som baseras på identifiering av risker är det möjligt att säkerställa lämpliga säkerhetsnivåer som täcker den övergripande säkerhetsstrategin bortom SAP-miljön.