Tags: SAP Security

Il sistema di controllo degli accessi SAP, se abbinato a regole e policy aziendali ben definite, consente di ottenere un livello di protezione superiore. Spesso, la mancanza di coerenza comporta un aumento dell’esposizione verso molteplici rischi come violazioni dei dati, della conformità, frodi e danni reputazionali. Proprio per questi motivi, esistono alcune metodologie atte a rendere più sicuro il sistema di controllo degli accessi, minimizzando buona parte dei rischi.


Provisioning centralizzato e automatizzato

Uno dei primi step è la centralizzazione e automatizzazione del processo di provisioning con cui si abilita l’ottenimento della miglior efficienza e del miglior controllo degli accessi possibile. Ad esempio, la soluzione di gestione degli accessi SAP Access Control è importante che sia affiancata da strumenti come SAP NetWeaver Identity Manager con cui automatizzare la gestione degli accessi degli utenti, delle attività e offrire visibilità in tutta l'azienda, soprattutto in ambienti eterogenei.

Con questi strumenti è possibile garantire che le approvazioni richieste siano ottenute in modo coerente ed efficiente durante il processo di provisioning, oltre a testare le modifiche di sicurezza per potenziali violazioni del SoD, prima di concedere l'accesso, e applicare controlli di mitigazioni, prima di introdurre le modifiche nell'ambiente di produzione.


Regole di Segregation of Duties senza conflitti

Altro aspetto che le aziende devono tenere in considerazione è la definizione della Segregation of Duties, ovvero il set di regole con cui si assicura che solamente le persone ritenute idonee possano eseguire transazioni sensibili. Molto spesso, in ambiente SAP, alcune transazioni rappresentano un rischio anche se non sono combinate. Una volta compresi i potenziali rischi, queste transazioni devono essere limitate e in alcuni casi monitorate attentamente.

Se l’obiettivo è rendere più sicuro il sistema di controllo degli accessi, la progettazione di regole SoD e il loro monitoraggio continuo sono aspetti indispensabili. In questo caso, l’utilizzo di una soluzione di sicurezza e conformità come SAP Access Control è strumento indispensabile per ottenere una SoD senza conflitti attraverso l’automatizzazione del processo di revisione periodico degli utenti, l’identificazione dei rischi presenti all’interno di ciascun ruolo, prima di concedere gli accessi ai sistemi produttivi. Tutto ciò consente il rispetto delle normative, adattando costantemente i sistemi in base all'evoluzione aziendale.


Automatizzare e rendere sicuro il reset della password

L'ID utente e la password rappresentano il primo livello di sicurezza per SAP. Per garantire la miglior sicurezza possibile è necessario implementare standard che contribuiscano a garantire la sicurezza delle password come la lunghezza minima, l'utilizzo di caratteri speciali, lettere minuscole e maiuscole, oltre all'obbligo di non riutilizzare password utilizzate in precedenza.

Nel dettaglio, la soluzione SAP Access Control include la funzionalità Self Service Password attraverso cui fornire agli utenti uno strumento di reimpostazione della password, mantenendo un elevato standard di sicurezza, rispetto a cambiare la chiave di accesso manualmente e inoltrare la stessa password iniziale a tutti gli utenti. Così facendo, le password risultano uniche e l'intervento manuale viene ridotto al minimo, anche attraverso l’abilitazione per ciascun utente di domande di sicurezza personalizzate. Inoltre, in caso di ripristino, la nuova password casuale generata potrà essere inoltrata per e-mail direttamente all'utente, riducendo così al minimo i rischi.


Revisione periodica per un sistema di controllo accessi più sicuro

Infine, per creare un sistema di controllo degli accessi più sicuro, le aziende devono identificare politiche atte a rendere chiari gli standard relativi alla gestione degli accessi. Per far ciò, è necessario svolgere una revisione periodica affinché le politiche siano pertinenti alle logiche aziendali, comprese e seguite dagli utenti. Questo passaggio, seppur ripetitivo, risulta indispensabile al fine di garantire consistenza e un livello di sicurezza degli accessi. 

Seguendo le metodologie illustrate, tutte le aziende possono rendere il proprio sistema più sicuro, evoluto e capace di adattarsi al variare dei contesti. Gli strumenti SAP devono essere, quindi, personalizzati in base alle esigenze di business e abbinati a un cambiamento di mentalità e dei processi interni, con l’obiettivo finale di rendere più sicuro l’intero sistema di controllo degli accessi.


White Paper - SAP GRC - Dall’IT alle operations al legal: come mettere in sicurezza il tuo patrimonio aziendale