Gli aspetti di sicurezza del codice custom in SAP sono sempre stati sottovalutati, nella maggior parte delle installazioni.
Solo recentemente, negli ultimi anni, i clienti si stanno accorgendo dell’importanza della sicurezza del codice. Principalmente linguaggio ABAP nel caso di SAP.
Lo sviluppatore SAP (ABAP) diventa quindi una risorsa strategica affinché la security (soprattutto custom code security) dei programmi sia presidiata e gestita correttamente.
Come fare a tenere alta l’attenzione?
È fondamentale definire delle linee guida di sviluppo sicuro, almeno per SAP. Se possibile definendo già nei documenti di analisi dei requisiti delle sezioni ad hoc sulla security e sulla gestione dei dati personali. La sicurezza applicativa del sistema SAP ERP ma di tutti i sistemi della stessa famiglia è basata sui controlli presenti nel codice (in questo caso nel linguaggio di programmazione ABAP)
Le azioni più rapide da mettere in campo possono essere ad esempio le seguenti:
Di fondamentale importanza è quello di definire degli accordi di non divulgazione o NDA (Non Disclosure agreement) con i propri partner commerciali, quindi anche con società di consulenza che hanno accesso ai nostri sistemi informatici.
In particolare SAP. Effettuare degli audit sui fornitori per garantire che i dati siano crittografati.
Dotarsi di strumenti per il controllo del codice sviluppato.
È molto complicato controllare il codice sviluppato in azienda (che sia stato creato da personale interno o esterno) per diverse ragioni:
Diventa quindi essenziale dotarsi di uno strumento ad hoc per effettuare il controllo degli sviluppi. Considera inoltre che il linguaggio ABAP ha delle specificità particolari. I software di controllo del codice sul mercato devono essere valutati secondo le necessità dell’azienda.
Gli sviluppatori devono essere definiti solamente nel sistema di sviluppo.
Parlare di profilazione degli sviluppatori in ambiente produttivo non avrebbe senso quindi.
Come definito nella Nota OSS Note 13202 - Security aspects in ABAP programming, SAP non ha al momento pianificato di dover sviluppare un "sap developer authorization concept" o concetto autorizzativo per gli sviluppatori (negli ambienti di sviluppo).
Di conseguenza uno sviluppatore nell’ambiente di sviluppo può operare senza limiti (eventuali segregazioni apportate, potrebbero essere facilmente superate).
Audit sulla sicurezza del codice ABAP? Contattaci qui sotto! Ti raccontiamo come definire un processo di gestione sicura del codice sviluppato.