Le tematiche legate alla sicurezza dei dati hanno preso sempre più importanza nel corso del tempo. Oggi, infatti, non è più possibile pensare alla gestione della sicurezza informatica come un singolo ambito da dover gestire.

Diventa fondamentale ragionare il più possibile in maniera completa. Anche perché una superficie di attacco esposta può essere utilizzata per sfruttare vulnerabilità e quindi arrivare anche a sistemi più presidiati. Il tutto va quindi considerato nei vari contesti on-premise oppure cloud, dai livelli applicativi a quelli tecnologici.

Nel corso del tempo la SAP ha intrapreso un percorso di Security By Design e Security By Default; tuttavia, sono ancora molti gli aspetti che devono essere configurati e quindi il "tanto SAP è un sistema sicuro per definizione" non è così reale (almeno in questo momento).

Ecco, quindi, che il controllare che tutto sia configurato nel modo corretto e verificare che non ci siano vulnerabilità diventa non solo consigliato ma necessario e con frequenze sempre più maggiori. 

In passato degli audit o vulnerability assessment periodici potevano essere sufficienti. Oggi è necessario avere un costate controllo se possibile. Questo non è sempre alla portata di tutti ma ormai esistono strumenti che permettono anche ad IT o team security limitati (in termini di risorse) di avere strumenti molto avanzati di controllo. 

 

Cyber Security/Sicurezza informatica

Cyber Security/Sicurezza informatica

Questo termine identifica tutte le azioni da attuare per la protezione dei sistemi informatici. Ovvero garantire la disponibilità, la confidenzialità ed integrità dei sistemi (CIA principle: Confidentiality, integrity and availability).

È un termine molto usato oggi e spesso inflazionato dalle società che si occupano di sicurezza informatica.

  •  

Quali sono le macroaree di intervento?

 

  • Sicurezza delle comunicazioni (attivazione della crittografia)
    • Ovvero attivazione della crittografia nei canali di comunicazione SAP, quindi SNC (Secure Network Communication) o HTTPS.

  • Sicurezza dei dati archiviati (crittografia dei dati)
    • Attivazione dei meccanismi di crittografia del database, nel caso di HANA nativi
  • Sicurezza dell'applicazione (Security SAP)
    • Definizione di un modello security o authorization concept SAP

  • Gestione delle identità
    • Attivazione di un sistema per la gestione delle identità ad esempio Identity Management
  • Hardening dei sistemi (infrastruttura/sistemi operativi/database)
  • Correlazione e log degli eventi security, ad esempio, tramite SIEM (security information and event management)
  • Gestione degli incidenti security 
  • Formazione
    • A tutto il personale come security awareness e formazione professionale agli specialisti security SAP. Questo oggi rappresenta il maggiore problema di sicurezza. Dopo aver protetto la sicurezza fisica e quella logica.

Quali sono i principali strumenti/configurazione da attivare?


In alcuni casi esistono semplicemente funzionalità da dover attivare in SAP, già presenti. In altri contesti serve attivare delle soluzioni (in alcuni casi già incluse nella suite SAP). In ulteriori serve acquistare dei software ad hoc. 

Esistono quindi diversi scenari che si possono applicare in base al contesto ed alla superficie di attacco che si vuole andare a presidiare.

 

"La funzione della cyber security è anche quella di coinvolgere e formare tutta l'azienda!"

Come ti può aiutare Aglea nella gestione della Cyber Security in SAP?

Chi si occupa di IT security sa che spesso in azienda non si hanno sufficientemente risorse per affrontare tutte le tematiche che dovrebbero essere gestite.

Nel caso specifico di SAP, viene visto come un prodotto "interno" all'azienda. Quindi non direttamente esposto. Oppure come una "scatola nera" (black box) che conoscono "quelli che fanno SAP" e che non deve essere toccata altrimenti si bloccano i processi di business.

In parte è vero. Tuttavia, affrondando a piccoli passi l'argomento si può scoprire che un percorso esiste e se seguito nel modo corretto si possono ottenere risultati importanti.

Ecco quello che facciamo è proprio questo, provare a far avvicinare due mondi che spesso sono molto diversi, quello dell'IT security e quello di SAP. Facendolo con un percorso preciso e guidato, anche per chi non conosce SAP, ma conosce gli aspetti di security IT

Contattaci se vuoi approfondire o confrontarti sulle tematiche sopra!

 

Articoli Suggeriti

SAP Cybersecurity - SAP Enterprise Threat Detection cosa è?

SAP ETD DASHBOARD-Jun-04-2024-06-31-29-3423-PM

Cosa puoi fare quando si parla di Cyber Security in ambito SAP?

 

Esiste uno strumento che SAP ha sviluppato chiamato SAP Enterprise Threat Detection che può essere utilizzato.

Cyber Security SAP ERP

SAP CYBER SECURITY-3

Cosa significa questo termine?

 

Quali sono le azioni che possiamo fare per proteggere un sistema SAP?

SAP Cyber Security, solo l'IT è coinvolto? Cyber Security Culture

CyberSecurity Team-Jun-04-2024-06-29-22-2923-PM

In passato erano sicuramente una nicchia le tematiche legate alla sicurezza dei dati. Oggi gli aspetti di Cyber Security sono tenuti in considerazione in maniera molto maggiore, in parte anche per i nuovi paradigmi di accesso es. le soluzioni SAP cloud.

 

Ma quanto parlare di Cyber Security fa riferimento al solo dipartimento IT? Probabilmente una visione completa di questi aspetti deve andare ben oltre il solo dipartimento dei sistemi informativi.