Ci sono molti significati dietro la parola SAP Security. Sono infatti tantissime le possibili attività riguardo a questo argomento.
Ma da dove conviene iniziare per evitare di non raggiungere la vetta? Qual è la vetta da raggiungere?
Ricordati che per chi scala una montagna, raggiungere la vetta è solo il 50% del viaggio. Bisogna anche saper ritornare.
Solo allora è possibile dire di aver compiuto tutto quanto.
Quando progetti il tuo sistema di gestione della sicurezza in SAP, non pensare solo alla partenza ed all'arrivo ma contempla anche la continuità nel tempo delle azioni.
Potremmo ipotizzare almeno tre grandi aree:
Riguarda tutti gli aspetti di sicurezza all'interno del prodotto SAP. La gestione delle utenze e dei ruoli autorizzativi al loro interno. Ovvero quello che viene chiamato "Authorization Concept", il concetto autorizzativo definito in SAP.
Ovvero tutte quelle azioni che servono a rendere più sicura la comunicazione dei dati tra i sistemi, la crittografia dei dati (database o log ad esempio). In aggiunta la fase di autenticazione ai sistemi.
La sicurezza applicativa si basa su quanto viene scritto nei programmi. Esistono infatti delle best practice di programmazione sicura che permettono di avere un concetto autorizzativo completo.
Quanto sopra può essere vero se queste linee guida di programmazione sicura sono applicate, altrimenti, in alcuni casi potrebbero vanificare tutti gli aspetti di sicurezza applicativa.
Quanto sopra non è affatto semplice da fare, anche se hai relativamente pochi sviluppi SAP. Ti serve un personale molto specializzato e con una notevole disponibilità di tempo, per leggere e capire tutti i programmi da analizzare.
Sicuramente l'ausilio di uno strumento che automatizza questi controlli può essere utile. SAP ha creato un sistema chiamato SAP CVA Code Vulnerability Analysis per analizzare tutti gli sviluppi.
Guarda anche qui
Sono davvero moltissimi gli aspetti da controllare. Parti con un audit per avere una fotografica dello stato di salute del tuo sistema.
Alcune attività possono essere sistemate facilmente, altre probabilmente richiedono uno specifico progetto.
Leggi qui per capire in che cosa consiste un audit SAP Security. Come devi selezionare eventuali fornitori per questo servizio? Leggilo qui!