Sono sempre maggiori le normative che di fatto impongono l'adozione di strumenti per il controllo delle vulnerabilità e la threat detection dei sistemi, tra cui anche SAP.
Ma quando, e come scegliere se dotarsi o meno di questi strumenti? Sei davvero pronto?
Davvero pensi che un software sia l'unica cosa di cui ai bisogno?
Sempre più spesso, in consulenza, osserviamo che il software come panacea o soluzione del problema non è più, da tempo, la strada corretta da seguire.
Infatti per ogni aspetto tecnologico da introdurre in azienda, soprattutto se sarà poi esteso ad una platea aziendale importante, come un sistema ERP ad esempio, deve esserci un passaggio di verifica organizzativa e preparazione dell'azienda per l'adozione.
Tecnologia, maturità aziendale e processi/organizzazione, devono essere allineati, una frequenza diversa di questi aspetti può portare spesso alla deriva ovvero:
- il prodotto non funziona
- non è compatibile con la nostra realtà
- etcc..
Per questo motivo è importante, nella valutazione che svolgiamo, capire anche questi aspetti, prima di quelli tecnologici.
Cosa valutare e quando?
Nel caso specifico di SAP, molto spesso usato come software gestionale, sono moltissimi i dati aziendali da proteggere, dai clienti, fornitori, prezzi, costi, distinte base e molte altre informazioni.
Ma SAP non è sicuro by default?
Purtroppo è un falso mito. Anche nelle formule dove SAP è fornitore cloud (es. RISE with SAP o GROW) la gestione applicativa dei sistemi è demandata sempre al cliente stesso. Nonostante questo la SAP sta facendo un percorso di security by default, ma diversi aspetti sono ancora da gestire.
Ma perché mi serve un software per controllare?
SAP è ormai diventato nel corso del tempo un sistema molto articolato, questo comporta che sono moltissime le azioni di controllo da effettuare (ed andrebbero svolge potenzialmente ogni giorno, questo dipende anche da alcuni fattori tra cui quante persone hanno accessi amministrativi o dal turnover).
In alcuni casi potrebbero servire diverse persone a tempo pieno per effettuare costantemente tutto i controlli (che sarebbero comunque di tipologia detective) ovvero verifiche a posteriori, non in real-time.
Per questo motivo è necessaria una applicazione specifica per controllare che tutto sia configurato a dovere e ci siano delle segnalazioni solo in caso di anomalie o differenze rispetto alla baseline definita.
Alcuni esempi di soluzioni
Sono diverse le soluzioni SAP e quelle presenti sul mercato che permettono di coprire alcuni aspetti della protezione dei dati (dalla sicurezza del codice, alla gestione delle vulnerabilità alla threat detection, ad esempio). Alcune di queste:
- SAP Enterprise Threat Detection
- SecurityBridge
- Onapsis
- Pathlock
- Nextlabs
- ...
Sono tutte uguali? Quali sono le differenze? Di cosa ho bisogno?
Come ti possiamo aiutare?
- Scouting e definizione dei prodotti da portare in software selection
- Costruzione di una eventuale RFP (Request for Proposal) che sarà condivisa con i vari fornitori allo scopo di guidare la software selection
- Gestione del rapporto con i fornitori ed accompagnamento nel percorso di "demo" dei prodotti
- Analisi comparativa delle funzionalità
- Valutazione del prodotto e dell'investimento da effettuare