SAP Security Audit permette di controllare e verificare la conformità su aspetti eterogenei a livello di sistema come la gestione delle utenze e dei ruoli autorizzativi SAP, i processi di governance, la sicurezza infrastrutturale e anche la gestione della SoD. Non solo, il SAP Security Audit richiede una valutazione dell’architettura, la configurazione della rete, la protezione dei sistemi, le impostazioni per quanto riguarda i database, oltre alla verifica di programmi Java e ABAP personalizzati su potenziali attacchi, backdoor e molto altro. Pertanto, a causa di questa elevata complessità, il processo di auditing può richiedere un'analisi accurata che comprende molteplici aree di ricerca e analisi.
SAP Security Audit: ecco quali sono gli step da fare
Ecco perché è importante identificare 3 step imprescindibili che l'azienda deve svolgere ad ogni verifica, con il fine di migliorare il livello di sicurezza del sistema SAP e proteggersi da potenziali rischi sia esterni che interni.
1. Affidarsi a un team di consulenti SAP
Uno dei primi step per svolgere con successo un SAP Security Audit è quello di appoggiarsi ad auditor capaci di controllare i sistemi secondo il paradigma RCE: "regole, controlli ed evidenze". Attraverso un corretto approccio, l'audit consentirà di identificare i punti deboli e predisporre soluzioni adeguate a tenere il più lontano possibili potenziali attacchi in un'ottica di controlli con cadenza periodica.
In particolare, è proprio nella fase di presentazione dei risultati con le relative valutazioni e i piani di rimedio che il supporto di un team di consulenti SAP si rivela essere indispensabile per gli step successivi. La combinazione tra know-how ed esperienza rappresenta l'unione ideale per tutte le aziende che hanno come obiettivo quello di mantenere i propri sistemi aggiornati, prevenire criticità e correggere funzionalità esistenti.
2. Attivare e monitorare SAP Security Audit Log
Per supportare il processo di audit SAP, a livello di sicurezza, un ulteriore passaggio è quello di attivare SAP Security Audit Log. Quest'ultimo strumento permette di mantenere traccia a livello applicativo delle attività di una o più utenze SAP ed è pensato per supportare gli auditor che hanno la necessità di una visione completa su tutto ciò che sta avvenendo in un sistema ABAP.
Nello specifico, SAP Security Audit Log ha come obiettivi principali il monitoraggio delle modifiche a livello di sicurezza per gli utenti amministratore, delle informazioni relative ai logon degli utenti, oltre alla raccolta di tutti i dati che possono supportare la ricostruzione di una serie di eventi nel sistema.
SAP Security Audit Log consente anche l'accesso ai dati a lungo termine, in quanto le informazioni sono registrate su base giornaliera all'interno dell'Application Server. Inoltre, i file di log vengono conservati fino a quando non sono eliminati in modo esplicito da parte dell'utente o, in alternativa, possono essere archiviati sulla base di alcuni filtri preimpostati, risultando così utili per eventuali SAP Security Audit futuri.
3. Apportare le correzioni rilevate dall’audit SAP Security
Dopo aver eseguito la valutazione completa dei sistemi SAP, verificando ogni singolo livello di sicurezza, il report prodotto richiederà correzioni da apportare, al fine di rimuovere ogni singola vulnerabilità o problematica riscontrata.
È proprio in questo caso che il ruolo svolto da un auditor esterno si rivela fondamentale, poiché potrà supportare l'azienda in ogni singola problematica riscontrata. Ad esempio, il Security Audit SAP svolto con un partner esterno fornirà supporto sia a livello tecnico che di processo, così da poter ottimizzare i propri processi aziendali e al contempo fornendo soluzioni realizzate su misura, anche su applicativi pre-esistenti.
Di fatto, apportare correzioni a problemi evidenziati da un SAP Security Audit richiede l'impiego di un team specializzato a livello di sicurezza, molto difficile da trovare internamente. Tutto ciò inoltre consentirà all'azienda di potersi focalizzare sul proprio core business, con la tranquillità dovuta alla consapevolezza che tutte le problematiche riscontrate verranno risolte e il SAP Security Audit sarà superato con successo.
