È possibile svolgere questa attività nei confronti dei sistemi SAP? Quali sono le regole, attenzioni e processi da seguire in questo caso?
Le regole della SAP valgono in ogni contesto cloud oppure on-premise?
Effettuare un penetration test dei sistemi SAP significa sostanzialmente condurre un'analisi della sicurezza informatica dei sistemi SAP al fine di identificare eventuali vulnerabilità, punti deboli o falle nella loro architettura.
Questo tipo di test mira a simulare un attacco informatico reale per valutare la resistenza dei sistemi SAP alla compromissione da parte di hacker o malintenzionati.
Durante un penetration test dei sistemi SAP, vengono eseguite diverse fasi, tra cui la raccolta di informazioni, l'analisi delle vulnerabilità, l'exploit delle vulnerabilità scoperte e infine la documentazione dei risultati ottenuti. Questo processo permette di identificare le vulnerabilità presenti nei sistemi SAP.
È importante sottolineare che un penetration test dei sistemi SAP può essere eseguito sia su sistemi cloud che on-premise.
Come già detto l'attività può essere svolta in generale su tutti i sistemi. Ma ci sono delle regole diverse nel caso si debbano valutare dei sistemi onpremise oppure cloud. In generale per i primi non ci sono particolari processi da seguire (se non quelli del soggetto da verificare).
Mentre nel caso debba essere svolta questa attività su sistemi SAP in cloud è necessario seguire in processo definito da SAP.
Tramite la nota "3080379 - Customer Penetration Testing Request Process" viene descritto il processo che deve essere seguito da chi intende svolgere questa operazione. Potremmo definire quali sono le "regole di ingaggio".
Nel documento sopra è possibile trovare la modalità di richiesta per una attività di questo tipo, le tempistiche ed i vincoli. Insomma, tutti i dettagli per poter capire come e se svolgere questa azione.
Esiste una apposita pagina per farlo, vedi qui.
Esistono diversi siti, il compliance finder oppure il SAP Trust Center