La security SAP è destinata a scomparire?

Posted by Massimo Manara on Jul 29, 2020 8:15:00 AM
Massimo Manara
Find me on:
LinkedIn

È possibile immaginare che nulla di ciò che conosciamo oggi, relativamente alla sicurezza dei sistemi SAP, esista nel futuro?

CLESSIDRA

Ma quali sono i fattori che potrebbero far supporre questo?

Dal passato ad oggi

Tramite il cloud sarà tutto più standard. È vero? Vediamo cosa è accaduto negli anni fino ad arrivare ai giorni nostri.

 

Negli scorsi anni, almeno 15/20 anni fa (forse c'è ancora qualcuno oggi in questa situazione?), molte società avevano nei loro sistemi SAP, assegnato a tutte le utenze le profilazioni più ampie (SAP_ALL).

 

Le normative erano meno stringenti, relativamente meno controlli sui dati e le informazioni.

I controlli, le frodi, le fughe di dati sono aumentate nel frattempo.

 

Di conseguenza sono state create numerose norme per le società quotate e numerosi framework di riferimento, anche ad adesione volontaria. Il volume di dati gestito è cresciuto esponenzialmente.

 

Un processo lungo, non sempre nella direzione corretta. I sistemi si sono adeguati introducendo la profilazione applicativa, la gestione della Segregation Of Duties, la segregazione dei dati, la gestione dei log.

 

Oggi ogni società deve fare i conti con le difficoltà tecnologiche, processi complessi, integrazione tra sistemi, normative, conformità.

 

I sistemi On Premise

I sistemi di questo tipo rappresentano quanto descritto sopra. Sistemi spesso datati, non dal punto di vista tecnologico ma di processi e gestione.

 

Aggiornamenti su aggiornamenti senza spesso rivedere gli aspetti legati alle profilazioni o alla gestione della sicurezza infrastrutturale o degli sviluppi.

 

Questo rappresenta un po' lo stato odierno dei sistemi. Poca iniziativa sulle tematiche di sicurezza se non spinta da vincoli normativi.

 

I sistemi On Cloud

Che cosa possono portare questi sistemi e questo modo di ragionare? Il delegare a chi di mestiere si occupa degli aspetti tecnologici garantendo dei livelli di controllo elevati (anche tramite certificazioni). Leggi qui per un approfondimento sul SAP Cloud.

 

Spesso questi sistemi hanno nativamente delle integrazioni con sistemi terzi sfruttando i protocolli di comunicazioni e scambio informazioni maggiormente sicuri al momento (SAP Cloud Platform Identity Authentication Service chiamato anche SAP Cloud Identity).

 

Hanno inoltre delle logiche di sicurezza applicativa standard e "pre-confezionate".

 

Immagina un domani, se nella tua realtà ci fosse un sistema ERP dove i ruoli autorizzativi siano già pre-definiti e debbano essere solo assegnati, evitando quindi di assegnare autorizzazioni critiche e gestendo inoltre la segregation of duties.

 

Sarebbe una svolta importante in termini di gestione. Con una diminuzione netta, probabilmente dei costi di gestione della security in generale e di conformità/controllo.

 

È davvero possibile? A mio avviso, a tendere sì, spero sia proprio così. Significa che chi si occupa di security ed auditing sia destinato di fatto a scomparire?

 

Forse questo no, ma sia chiamato a cambiare il modo di pensare ed agire come lo intendiamo oggi. Concentrando gli sforzi sul governo del sistema supportato dai controlli automatici definiti e l'analisi dei dati (molti) tramite gli strumenti di scrittura di pattern per l'identificazione di anomalie e la gestione delle stesse.

 

In parte questo ultimo aspetto è già oggi possibile (vedi ad esempio i sistemi di Threat Detection e Fraud Management, o Business Integration Screening). Tuttavia nella quasi totalità delle installazioni, per la mia esperienza, le superfici di attacco non sono tutte gestite o gestite allo stesso modo. Causando quindi dei "gap" a livello di sicurezza generale dei sistemi.

 

Ho protetto benissimo gli aspetti applicativi/autorizzativi del mio sistema, ma non aggiorno costantemente il mio sistema per quanto riguarda le patch security SAP.

 

Oppure gestisco benissimo i processi di change (anche sugli aspetti degli sviluppi sicuri) ma non ho sotto controllo le autorizzazioni critiche assegnate agli utenti.

 

L'immagine sotto è emblematica.

 

IMAGE_FLIP

 

Gli standard che portano questi strumenti possono essere un valore aggiunto in termini di gestione della sicurezza su vari fronti.

 

La transizione degli scenari ibridi

Può non essere semplice arrivarci, soprattutto nelle situazioni dove sono presenti molti sistemi on-premise (magari da tanti anni) ed alcuni, nuovi, sistemi on cloud.

 

Per le società significa dover gestire un ulteriore momento di transizione, percorrendo un percorso ibrido. Ovvero dove alcuni sistemi saranno on prem ed altri on cloud.

 

Purtroppo, in questo caso non ci sono scorciatoie. Ma ancora una volta questo scenario può rappresentare un punto di criticità se non gestito correttamente.

 

Come ad esempio, la gestione centralizzata delle utenze e delle abilitazioni nei processi di provisioning e de-provisioning.

 

Iscriviti al blog se ancora non lo hai fatto!

 

Topics: SAP IAG, SAP Cloud, SAP Identity and Access Governance, SAP Cloud Security

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy