È possibile immaginare che nulla di ciò che conosciamo oggi, relativamente alla sicurezza dei sistemi SAP, esista nel futuro?
Ma quali sono i fattori che potrebbero far supporre questo?
Tramite il cloud sarà tutto più standard. È vero? Vediamo cosa è accaduto negli anni fino ad arrivare ai giorni nostri.
Negli scorsi anni, almeno 15/20 anni fa (forse c'è ancora qualcuno oggi in questa situazione?), molte società avevano nei loro sistemi SAP, assegnato a tutte le utenze le profilazioni più ampie (SAP_ALL).
Le normative erano meno stringenti, relativamente meno controlli sui dati e le informazioni.
I controlli, le frodi, le fughe di dati sono aumentate nel frattempo.
Di conseguenza sono state create numerose norme per le società quotate e numerosi framework di riferimento, anche ad adesione volontaria. Il volume di dati gestito è cresciuto esponenzialmente.
Un processo lungo, non sempre nella direzione corretta. I sistemi si sono adeguati introducendo la profilazione applicativa, la gestione della Segregation Of Duties, la segregazione dei dati, la gestione dei log.
Oggi ogni società deve fare i conti con le difficoltà tecnologiche, processi complessi, integrazione tra sistemi, normative, conformità.
I sistemi di questo tipo rappresentano quanto descritto sopra. Sistemi spesso datati, non dal punto di vista tecnologico ma di processi e gestione.
Aggiornamenti su aggiornamenti senza spesso rivedere gli aspetti legati alle profilazioni o alla gestione della sicurezza infrastrutturale o degli sviluppi.
Questo rappresenta un po' lo stato odierno dei sistemi. Poca iniziativa sulle tematiche di sicurezza se non spinta da vincoli normativi.
Che cosa possono portare questi sistemi e questo modo di ragionare? Il delegare a chi di mestiere si occupa degli aspetti tecnologici garantendo dei livelli di controllo elevati (anche tramite certificazioni). Leggi qui per un approfondimento sul SAP Cloud.
Spesso questi sistemi hanno nativamente delle integrazioni con sistemi terzi sfruttando i protocolli di comunicazioni e scambio informazioni maggiormente sicuri al momento (SAP Cloud Platform Identity Authentication Service chiamato anche SAP Cloud Identity).
Hanno inoltre delle logiche di sicurezza applicativa standard e "pre-confezionate".
Immagina un domani, se nella tua realtà ci fosse un sistema ERP dove i ruoli autorizzativi siano già pre-definiti e debbano essere solo assegnati, evitando quindi di assegnare autorizzazioni critiche e gestendo inoltre la segregation of duties.
Sarebbe una svolta importante in termini di gestione. Con una diminuzione netta, probabilmente dei costi di gestione della security in generale e di conformità/controllo.
È davvero possibile? A mio avviso, a tendere sì, spero sia proprio così. Significa che chi si occupa di security ed auditing sia destinato di fatto a scomparire?
Forse questo no, ma sia chiamato a cambiare il modo di pensare ed agire come lo intendiamo oggi. Concentrando gli sforzi sul governo del sistema supportato dai controlli automatici definiti e l'analisi dei dati (molti) tramite gli strumenti di scrittura di pattern per l'identificazione di anomalie e la gestione delle stesse.
In parte questo ultimo aspetto è già oggi possibile (vedi ad esempio i sistemi di Threat Detection e Fraud Management, o Business Integration Screening). Tuttavia nella quasi totalità delle installazioni, per la mia esperienza, le superfici di attacco non sono tutte gestite o gestite allo stesso modo. Causando quindi dei "gap" a livello di sicurezza generale dei sistemi.
Ho protetto benissimo gli aspetti applicativi/autorizzativi del mio sistema, ma non aggiorno costantemente il mio sistema per quanto riguarda le patch security SAP.
Oppure gestisco benissimo i processi di change (anche sugli aspetti degli sviluppi sicuri) ma non ho sotto controllo le autorizzazioni critiche assegnate agli utenti.
L'immagine sotto è emblematica.
Gli standard che portano questi strumenti possono essere un valore aggiunto in termini di gestione della sicurezza su vari fronti.
Può non essere semplice arrivarci, soprattutto nelle situazioni dove sono presenti molti sistemi on-premise (magari da tanti anni) ed alcuni, nuovi, sistemi on cloud.
Per le società significa dover gestire un ulteriore momento di transizione, percorrendo un percorso ibrido. Ovvero dove alcuni sistemi saranno on prem ed altri on cloud.
Purtroppo, in questo caso non ci sono scorciatoie. Ma ancora una volta questo scenario può rappresentare un punto di criticità se non gestito correttamente.
Come ad esempio, la gestione centralizzata delle utenze e delle abilitazioni nei processi di provisioning e de-provisioning.