Cosa fare dopo un audit sap o vulnerability assessment [SAP Security]

Posted by Massimo Manara on May 1, 2019 8:36:00 AM
Massimo Manara
Find me on:

 

È sempre più importante svolgere periodicamente degli audit SAP e dei vulnerability assessment (VA). Diversi sono i motivi, ad esempio, verifica delle attuali protezioni dei dati attive oppure controllo dei sistemi da parte di terzi, normativi che richiedono controlli periodici (ISO, GDPR etcc).

 

audit

 

Per questo motivo, fornitori specializzati (e spesso non proprio specializzati), propongono dei servizi di auditing sap specifici.

 

Una domanda. Cosa fare quando riceviamo o ci viene presentato l’elenco di tutte le problematiche evidenziate?

 

Potrebbe servire un progetto ad hoc o comunque un certo impegno per la sistemazione di quanto evidenziato.

Come scegliere?

L’offerta è molto vasta a riguardo. Ecco alcuni suggerimenti per capire cosa fare e come valutare le varie proposte, alcuni di questi generali e non prettamente legati alla SAP Security.

 

  • I miei dati saranno tutelati e protetti da chi mi svolge il servizio?
    • Il fornitore è certificato? Es.: ISO27001?
    • Ha delle certificazioni specifiche verticali a riguardo?
    • Ricordati di definire un NDA
  • Quale sarà il "delivery" prodotto? È importante conoscere che cosa sto acquistando ed in che formato mi arriverà
    • "Elenco della spesa" delle attività da fare? Suggerimenti per ogni punto? Oppure un tomo di 100 pagine da leggere per capire quali azioni svolgere?
  • Il fornitore è specializzato su quell’argomento/sistema da analizzare oppure è uno dei tanti servizi offerti?
    • Questo è un punto molto rilevante. Ogni sistema oggi è sempre più complesso e la verticalizzazione delle conoscenze permette di essere il più completi possibile nell'analizzare la situazione
  • Quali sono le altre referenze di audit analoghi effettuati?
  • Quali dati saranno scaricati dal sistema?
    • È importante, oggi più che mai, dopo il GDPR (se sono presenti dati personali, e spesso è così) conoscere quali dati saranno scaricati e per quanto tempo saranno in possesso del fornitore
  • Quanto tempo passa dallo scarico dei dati alla presentazione dei risultati?
  • Quali sono le skill che possono servire per affrontare le problematiche che emergeranno?
  • La società che ci fa l’audit sarà la stessa che ci supporterà nella sistemazione della anomalie?

 

Sarò autonomo nel sistemare le anomalie?

Entriamo più nel dettaglio di un audit o (Vulnerability assessment) VA Security SAP. le evidenze prodotte possono avere diversa natura risolutiva:

  • configurazioni del sistema da fare
  • problematiche strutturali, revisione radicale dell’approccio usato

 

Nel primo caso, spesso si tratta esclusivamente di attivare delle funzionalità già previste dal sistema ma semplicemente spente (es. log specifici, in questo caso resta sempre da capire come saranno poi gestiti i log).

 

Nel secondo caso, anche‘esso frequente si tratta di attivare un progetto per sistemare alcune evidenze.

 

Perché è importante capire chi mi può aiutare dopo l’audit?

Sovente i risultati di un audit sono corposi, in termini di anomalie o non conformità rilevate. Questo non significa che abbiamo lavorato male fino a ora.

 

Le cause della numerosità delle anomalie possono essere molteplici:

 

  • Durante i progetti la security, soprattutto in passato, veniva sottovalutata
  • La complessità dei sistemi porta ad avere una conoscenza molto approfondita per poter effettuare configurazione specifiche e verticali security, non sempre padroneggiate da clienti o fornitori general purpose
  • La security è stata sempre sottovalutata fino a quando non abbiamo avuto una frode interna
  • La security è stata sempre sottovalutata fino a quando non ci siamo accorti che qualcuno ha sottratto i nostri disegni tecnici industriali (proprietà intellettuale). Molto comune che questi dati siano presenti anche in SAP.

 

Dopo l’audit è quindi importante avere un partner che possa supportare la sistemazione almeno delle parti più critiche.

 

Non dimenticarti inoltre che la security deve essere vista come un processo, non un progetto. Deve essere costantemente mantenuto alto il livello di sicurezza gestendo i vari cambiamenti aziendali e tecnologici.

Iscriviti al blog se ancora non lo hai fatto!

 

Topics: consulenza sap security, auditing

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutte