Tematiche come quelle del Least Privileged Access, della True Compliance e dell'Accountability sono all'ordine del giorno quando si parla di SAP Security.

Tuttavia, al già esistente pacchetto di strumenti di sicurezza standard forniti da SAP si può aggiungere un ulteriore livello di protezione, quello della biometria.

Cosa significa biometria in SAP e perché può avere senso usarla?

La biometria, nel campo informatico, permette di utilizzare delle caratteristiche fisiche o comportamentali per identificare una persona.

Può essere utilizzata quindi in molti modi (lettura iride, impronta digitale, modo di camminare, voce etcc) ed in diversi contesti, per accedere ad un sistema oppure per svolgere delle operazioni critiche, all'interno di un sistema, come meccanismo di doppio controllo.

L'utilizzo di queste tecniche può essere ancora più utile quando si aggiungono pratiche (bad practice) di gestione di informazioni e di svolgimento di processi aziendali che ben poco hanno da spartire con la parola "sicurezza" ad esempio:

• Condivisione delle proprie password prima di andare in ferie (tieni sotto controllo i logon multipli? Approfondisci qui)
  
  
• Salvataggio di credenziali su fogli di carta o file in posizioni non sicure
  
  
• Lasciare la propria scrivania incustodita e con il computer non bloccato

in questo articolo introduciamo una soluzione, disponibile sul mercato, chiamata bioLock. Il cui obiettivo è proprio quello di proteggere il sistema SAP in toto, nonché, potenzialmente, ridurre a zero gli eventuali rischi che queste pratiche sbagliate porterebbero con sé. 

Come funziona? Che vantaggi potrebbe portare al tuo sistema SAP? Entriamo nel dettaglio!

Che tecnologia sfrutta bioLock?

bioLock è un software che si appoggia alle tecnologie di analisi biometrica e si integra nei sistemi SAP tramite il linguaggio ABAP per rendere possibile la definizione di controlli "ID Checks" che possono essere impostati come obbligatori allo svolgimento di una qualsiasi azione in SAP.

Ad esempio, può essere utilizzato tramite i seguenti prodotti per l'acquisizione e l'autenticazione delle informazioni biometriche dell'utente:

• Mouse con lettura impronta digitale
• Fujitsu Palm Vein
• Nymi Band
• Windows 10/HELLO

L'autenticazione biometrica è infatti il fulcro della tecnologia bioLock, attraverso il quale il software fornisce una vasta gamma di opzioni di sicurezza.

Questa permette di creare una Allow List, in cui sono contenute tutte le utenze che verranno accettate nel momento in cui cercheranno di svolgere una determinata azione.

Tutte le utenze non inserite in questa lista verranno invece automaticamente rifiutate dal sistema quando cercheranno di svolgere l'azione.

Che cosa puoi fare con bioLock?

Alcune delle funzioni più importanti del software sono le seguenti:

• Logon Protection: pone un checkpoint biometrico in fase di Logon, in modo tale da
  impedire l'accesso al sistema SAP anche a chi possiede le credenziali di accesso ma non è realmente l'utente che dice di essere.
  • Permette di ridurre i rischi di accesso nei luoghi di lavoro in cui gli utenti accedono dallo stesso PC, o luoghi pubblici come Kiosk
• Function Protection: restringe l'accesso a transazioni sensibili, tabelle, funzioni o pulsanti all'interno della SAP GUI
  
  
• Field Masking mirato: in seguito agli "ID Check" i bottoni/pulsanti, i campi e le righe di un oggetto SAP possono essere nascosti a piacimento, così da compiere un'ulteriore segregazione all'accesso a informazioni e funzionalità sensibili. Leggi qui come funziona la funzionalità nativa di masking dei dati in SAP.
  
  

Come funziona bioLock?

Per comprendere meglio i meccanismi che soggiacciono al funzionamento di bioLock vediamo più da vicino la Function Protection. Per proteggere una funzionalità all'interno di SAP tramite il software sono necessari tre semplici e veloci passaggi.

• Creare una function, inserire il numero che si desidera assegnarle, e scegliere il metodo di restrizione all'accesso (onlyfinger, PalmSecure, Nymi Band..)
   
  • Selezionare il Global Check Mark, per comunicare al software che si desidera restringere l'accesso potenzialmente a tutti gli utenti del sistema SAP
    
    
  • In ultimo selezionare "Invite Defined", così da poter successivamente selezionare gli utenti che faranno parte della Allow List
    
    

• Da ora la transazione sarà protetta con la funzione definita
  
  
• Restringere l'accesso alla funzione inserendo gli utenti desiderati all'interno della Allow List. Da ora nessuno al di fuori di questi potrà avere accesso alla funzione definita
  
  

Se si desidera non solo impedire l'accesso, ma anche operare ad un livello più dettagliato di sicurezza e segregare l'esecuzione vera e propria all'interno della transazione, è possibile aggiungere un bioLock Checkpoint all'interno delle linee di codice ABAP appena prima dell'esecuzione interessata, e collegare questo inserimento alla funzione definita precedentemente.

Ogni azione effettuata a sistema può essere infine tracciata per avere un log delle attività svolte. Quando ti può servire?

• Per tracciare chi ha fatto cosa, quindi per attività di controllo detective o forense
• Per tracciare chi ha provato a fare cosa

Lo sapevi che queste informazioni possono essere anche integrate in un SIEM?

Come bioLock può aiutare la tua azienda?

Abbiamo visto il modo in cui bioLock opera e attraverso quali strumenti e quali logiche esso mira a migliorare la sicurezza del sistema SAP.

In sintesi, quali sono i modi in cui bioLock può aiutare la tua azienda?

• Check ID in SAP per impiegati, fornitori e clienti
• Protezione su transazioni standard o custom
• Livello di sicurezza in profondità per Funzioni, Valori, Bottoni e molto altro
• Compatibilità con Fingerprint, Palm Vein, Nymi Band e Smart Cards
• Contributo ad una definizione più chiara delle Responsabilità
• Controllo dei tentativi di accesso tramite Log Files
• Opzioni di sicurezza dove la Segregation of Duties non può arrivare (leggi qui per approfondire la tematica SoD)
  
  

Sei interessato ad un approfondimento? Hai ulteriori dubbi? Contattaci qui!