All’interno dei sistemi SAP delle aziende sono presenti enormi quantitativi di dati confidenziali e altamente sensibili che devono essere considerati a rischio. Stabilire una buona sicurezza interna e processi di accesso accurati è essenziale affinché il sistema SAP sia protetto e funzioni correttamente.
Per questi motivi, ciascun utente che accede al sistema SAP deve avere solamente i permessi e le funzionalità necessarie per svolgere il proprio lavoro. Nel caso in cui riesca ad avere l’accesso accidentale a documenti finanziari, informazioni riservate e molto altro ancora, ciò potrebbe causare danni sia economici che reputazionali per l’azienda. Non solo, in alcuni ambienti, come quello finanziario, esistono anche obblighi normativi che impongono requisiti specifici a livello di implementazione, verificati in fase di audit, atti a proteggere le informazioni contenute all’interno dei sistemi SAP.
Dando anche uno sguardo oltre il perimetro aziendale, è impossibile non accorgersi dell’aumento delle minacce informatiche che riguardano, sempre di più, le aziende e i loro sistemi gestionali. Anche SAP non è esente da questi potenziali attacchi di cyber criminali che tentano di sfruttare le vulnerabilità presenti nei sistemi non aggiornati. Pertanto, in questo contesto, è evidente l’importanza di una corretta implementazione della SAP Security dovuta sia alla Segregation of Duties che al continuo controllo, monitoraggio e aggiornamento dei sistemi.
Segregation of Duties, indispensabile nella sicurezza applicativa
La SAP Security non può non prescindere dall’applicazione di una Segregation of Duties realizzata appoggiandosi a una valutazione analitica e dettagliata dei rischi associati a ciascun processo aziendale, oltre alla verifica del livello di probabilità e di gravità ad esso correlato.
Il processo di valutazione, che ogni azienda deve mettere in atto, ha come obiettivo quello di garantire un sistema gestionale più protetto e sicuro, in cui è l’azienda stessa a venire a conoscenza delle singole parti dei processi in conflitto tra di loro e, grazie al supporto di partner con esperienza pluriennale come DNC, può definire una matrice SoD. L’attività di definizione di una matrice SoD, seppur molto complessa, si rivela indispensabile per proteggere il proprio business dalle frodi, soddisfare i requisiti di conformità e attivare una corretta gestione delle attività aziendali, oltre che ad eventuali processi di remediation o mitigation.
Gestire la complessità e garantire la SAP Security
Garantire una corretta applicazione della SAP Security richiede una continua e costante attenzione, oltre che a un know-how eterogeneo, in quanto non tutti i sistemi che gestiscono la sicurezza applicativa SAP si appoggiano a un unico strumento. Al contempo, se da un lato la Segregation of Duties è un processo continuo, in quanto i processi aziendali evolvono e assieme a loro anche duties e rischi, dall’altro troviamo il continuo rilascio da parte di SAP delle Security Patch.
Spesso accade che all’interno di contesti aziendali in cui la sicurezza è gestita in-house si tenda a preferire il mantenimento del sistema gestione così come è, senza andare ad applicare le correzioni rilasciate da SAP. Questa metodologia di affrontare gli aggiornamenti espone i sistemi SAP a innumerevoli rischi, poiché le SAP Security Patch coprono diversi gradi di vulnerabilità, basati sul sistema CVSS, tra cui anche quelle critiche.
Di fronte alla necessità di gestire la sicurezza in SAP e la continua evoluzione delle minacce di carattere informatico, le aziende devono attivare processi di monitoraggio continuo delle potenziali falle presenti a sistema, anche attraverso l’ausilio di un team di consulenti SAP. Con questo approccio sarà possibile garantire la continua applicazione delle patch, nel più breve tempo possibile, affinché tutti gli applicativi mission-critical, oltre che ai dati contenuti in essi, linfa vitale del business, siano costantemente protetti, assicurando la reale continuità del business.
DNC AMS, la soluzione per la SAP Security
Per gestire l’elevato grado di complessità dato dalla creazione e il monitoraggio continuo della sicurezza applicativa SAP, le aziende possono ottenere notevoli vantaggi appoggiandosi a un partner che eroga servizi di Application Maintenance (AMS) in outsourcing. Tra questi, Data Network Consulting mette a disposizione dei propri clienti un team di consulenti finalizzato allo svolgimento di tutte le attività di monitoraggio, aggiornamento, prevenzione delle criticità, disponibile a fornire una rapida risposta in caso di problematiche a livello di sicurezza e non solo. Nel dettaglio, DNC offre la possibilità di svolgere valutazioni di authorization concept, analizzare soluzioni personalizzate, oltre a fornire consulenza di processo per assicurare la massima attinenza delle policy di Segregation of Duties (SoD) ai singoli processi aziendali.
L’adozione di un servizio di AMS porta molteplici vantaggi tra cui un vero e proprio sistema di ticketing a disposizione del cliente, il quale può sapere, in qualsiasi momento, entro quanto tempo sarà concluso un processo. Al tempo stesso, l’outsourcing della SAP Security rende possibile anche l’attivazione di corsi di aggiornamento periodici per il personale aziendale, il supporto continuo nei processi di change-management, oltre all’attivazione di processi di segnalazione e di adeguamento dei sistemi a livello normativo, in modo proattivo.
Infine, il servizio di AMS di DNC è la soluzione per tutte le aziende che desiderano avere costi contrattualizzabili e inferiori, rispetto a soluzioni realizzate in-house, con l’ulteriore vantaggio di accedere all’esperienza di consulenti che nel tempo hanno sviluppato metodologie implementative agili basate su best practice SAP e dello specifico settore, per garantire qualità, sicurezza e rispetto delle normative vigenti.
Scegliendo DNC per l’AMS, l’intera organizzazione potrà continuare a concentrarsi sulle attività strategiche, liberando risorse per perseguire gli obiettivi di business, sapendo di avere un team di consulenti costantemente sul campo, sempre pronto ad affrontare qualsiasi sfida nell’ambito della sicurezza SAP.
Articolo originariamente pubblicato il 24 Mag 2022
