SICUREZZA INFORMATICA

SAP cyber security: le best practice per la protezione dei dati in SAP

La sicurezza dei dati in SAP è un aspetto molto critico ma, a differenza di quanto accade con l’hardware, è spesso trascurata. Ecco come proteggere le soluzioni software ERP (Enterprise Resource Planning)

24 Gen 2022
P
Fabrizio Pincelli

Giornalista

Non ci sono dubbi sul fatto che la sicurezza dei dati rivesta un ruolo di assoluto rilievo per ogni tipo di organizzazione. La storia recente ha dimostrato quali danni può fare un data breach o un attacco ransomware, sia dal punto di vista economico sia dell’immagine. Ed è ben più difficile far riacquistare credibilità a un brand che non riprendersi economicamente.

Per avere la certezza di aver attivato tutti i sistemi di protezione possibili si dovrebbe avere messo in sicurezza tutto l’hardware e il software presenti in azienda. Invece, spesso si fa solo parte del lavoro, come ci conferma Luigi Granitto, Client Account Senior Manager di Qintesi ed esperto di sicurezza IT. “Di solito – afferma – si tende a proteggere la propria intranet, il proprio hardware, a volte i sistemi dove risiede il CRM. Raramente si pensa di proteggere un ERP o un applicativo specifico”.

Proteggere rete e hardware senza sottovalutare gli applicativi

Eppure, sugli ERP e sugli applicativi girano dati sensibili, molto appetibili per le truffe, dato che si fanno pagamenti e sono autorizzate spese. È probabilmente una delle parti più critiche del sistema informativo aziendale, ma anche una delle più trascurate.

“Ecco perché – prosegue Luigi Granitto – la sicurezza di applicativo come SAP e dei suoi dati è spesso trascurata. Noi di Qintesi possiamo offrire un servizio che indirizza tali problematiche e aiuta a raggiungere un adeguato livello di sicurezza dei propri sistemi applicativi. Tale servizio prevede anzitutto un’analisi del sistema per effettuare un confronto con le best practice previste da SAP. Fatto ciò, si realizza un benchmark che riassume la situazione e si decide qual è l’obiettivo atteso rispetto alle best practice. Quest’ultima è, infatti, il risultato a cui si dovrebbe puntare per mettere in sicurezza i dati in modo ottimale. Tuttavia, ogni azienda ha un certo grado di confidenza rispetto al livello di sicurezza che vuole raggiungere, cosa che vale per ogni applicazione e vendor”.

Un’analisi divisa in quattro

L’assessment si struttura in quattro fasi:

  1. identify (si individuano i rischi per ogni area);
  2. assess (prevede la verifica tramite il Cyber Security Framework di SAP);
  3. secure (si definiscono delle remediation, che possono anche essere dei progetti a sé stante);
  4. monitor (si segue un controllo tramite alcuni prodotti specifici).

A fronte dei risultati ottenuti tramite l’assessment, il SAP Secure Operation Map suggerisce ciò che bisognerebbe fare su ogni applicazione. In questo caso, si opera su cinque livelli:

  1. la compliance;
  2. le operation;
  3. la sicurezza del setup;
  4. la sicurezza del codice;
  5. la sicurezza delle infrastrutture.

Per ognuno dei cinque livelli, gli esperti di Qintesi consigliano sia delle metodologie da seguire sia delle soluzioni da implementare per arrivare agli obiettivi di sicurezza che l’azienda desidera ottenere.

Cinque livelli di sicurezza

Ma quali sono i tipi di remediation proposti per i cinque livelli? Vediamoli assieme.

Security compliance. Prevede che si verifichino le policy in quello che l’azienda dichiara essere il suo profilo di security in ambito SAP e se risponde, come procedure e come policy, alle indicazioni della stessa SAP. Per esempio: ho un documento che definisce le policy in ambito di disaster recovery? È aggiornato? Ogni quanti anni lo aggiorno? Ci sono le policy sulla password? Considerano almeno i limiti previsti da SAP?

Security operation. Si va a vedere quello che si fa sul sistema, le operation. Si parte con la user authorization dove, tramite un framework, si verifica se sono rispettati i livelli minimi di sicurezza sulle utenze, sia dal punto di vista IT sia da quello della segregation of duties (SOD). In questo entra in gioco il GRC (governance, risk management e compliance) e, qualora l’azienda decida di proseguire a fronte dei suggerimenti forniti, si propongono delle soluzioni che vanno a indirizzare gli utenti e le loro autorizzazioni, sia in termini di accessi critici sia di separazione dei ruoli.

Un altro aspetto importante delle security operation è il single sign on, ovvero la possibilità di autenticare gli utenti e di farli entrare su tutti i sistemi senza dover digitare ogni volta la password.

Ci sono poi il controllo delle policy di sicurezza e il monitoraggio. Queste attività possono essere svolte con sistemi come il SAP GRC Access Control e l’Enterprise Thread Detection: il primo verifica aspetti di sicurezza, di transazioni, utenze e SOD, il secondo sistema tiene invece sotto controllo il sistema e verifica che non ci siano attacchi o minacce e non sia nemmeno in atto un furto di dati.

Da ultimo, troviamo il solution manager che fornisce una serie di parametri di monitoraggio sulla sicurezza e avvisa se ci sono delle patch di sicurezza rilasciate da SAP e non applicate.

Sicurezza del Setup. In questo caso si verificano tutte le configurazioni, a partire da quella del sistema, per arrivare alla comunicazione fino alle policy delle password.

 “Molto semplicemente, indirizziamo le varie problematiche – chiarisce Luigi Granitto – e aiutiamo a risolverle attraverso il nostro know-how e l’esperienza che abbiamo maturato nell’amministrazione dei sistemi SAP.”

Sicurezza del codice. “Questo è un aspetto molto trascurato su SAP, perché non ci sono controlli di malware standard e nessuno li fa – afferma Luigi Granitto –. Invece è un tema molto importante. Noi consigliamo di implementare un tool che permetta di fare dei controlli di sicurezza nel momento in cui si trasporta la propria porzione di software in ambiente di certificazione e poi di produzione”. Tale tool si chiama Code Vulnerability Analyzer (CVA).

Sicurezza dell’infrastruttura. Quest’ultima parte riguarda gli aspetti di security legati all’hardware, al network e al front-end. “Così come aiuta a configurare i sistemi software – precisa Luigi Granitto –, Qintesi supporta anche chi gestisce la sicurezza del network SAP o dell’hardware SAP”.

New call-to-action

“Per garantire una più efficace gestione nel tempo della SAP Cybersecurity, Noi di Qintesi – conclude Luigi Granitto – abbiamo sviluppato anche una Dashboard che riepiloga i 5 pilastri della Secure operation map  e i relativi controlli. Il cruscotto gestisce il monitoraggio dei controlli in tempo reale su ogni sistema collegato. In caso di criticità rilevate (es. utente in produzione con SAP All, download non autorizzato di dati critici, ecc.) attiva un workflow avvisando il relativo control owner”.

Contributo editoriale sviluppato in collaborazione con Qintesi

@RIPRODUZIONE RISERVATA

Articolo 1 di 3