Sono sempre maggiori le normative che di fatto impongono l'adozione di strumenti per il controllo delle vulnerabilità e la threat detection dei sistemi, tra cui anche SAP.
Ma quando, e come scegliere se dotarsi o meno di questi strumenti? Sei davvero pronto?
Sempre più spesso, in consulenza, osserviamo che il software come panacea o soluzione del problema non è più, da tempo, la strada corretta da seguire.
Infatti per ogni aspetto tecnologico da introdurre in azienda, soprattutto se sarà poi esteso ad una platea aziendale importante, come un sistema ERP ad esempio, deve esserci un passaggio di verifica organizzativa e preparazione dell'azienda per l'adozione.
Tecnologia, maturità aziendale e processi/organizzazione, devono essere allineati, una frequenza diversa di questi aspetti può portare spesso alla deriva ovvero:
Per questo motivo è importante, nella valutazione che svolgiamo, capire anche questi aspetti, prima di quelli tecnologici.
Nel caso specifico di SAP, molto spesso usato come software gestionale, sono moltissimi i dati aziendali da proteggere, dai clienti, fornitori, prezzi, costi, distinte base e molte altre informazioni.
Purtroppo è un falso mito. Anche nelle formule dove SAP è fornitore cloud (es. RISE with SAP o GROW) la gestione applicativa dei sistemi è demandata sempre al cliente stesso. Nonostante questo la SAP sta facendo un percorso di security by default, ma diversi aspetti sono ancora da gestire.
SAP è ormai diventato nel corso del tempo un sistema molto articolato, questo comporta che sono moltissime le azioni di controllo da effettuare (ed andrebbero svolge potenzialmente ogni giorno, questo dipende anche da alcuni fattori tra cui quante persone hanno accessi amministrativi o dal turnover).
In alcuni casi potrebbero servire diverse persone a tempo pieno per effettuare costantemente tutto i controlli (che sarebbero comunque di tipologia detective) ovvero verifiche a posteriori, non in real-time.
Per questo motivo è necessaria una applicazione specifica per controllare che tutto sia configurato a dovere e ci siano delle segnalazioni solo in caso di anomalie o differenze rispetto alla baseline definita.
Sono diverse le soluzioni SAP e quelle presenti sul mercato che permettono di coprire alcuni aspetti della protezione dei dati (dalla sicurezza del codice, alla gestione delle vulnerabilità alla threat detection, ad esempio). Alcune di queste:
Sono tutte uguali? Quali sono le differenze? Di cosa ho bisogno?