Torna indietro

SAP: cybersecurity, best practice per la sicurezza aziendale

La necessità di assicurare un adeguato livello di Cybersecurity è ormai evidente anche all’esterno dei reparti tecnici aziendali: la storia recente ci insegna come la sicurezza informatica sia ormai diventata oggetto di interesse anche nella cronaca generalista, per esempio su testate non di settore o telegiornali nazionali. I termini e le modalità con cui sono presentati sono spesso impropri, ma comunque utili a dare un’idea della percezione di necessità che traspare fra i non addetti ai lavori. Per questa ragione, la messa in sicurezza dell’IT aziendale è al primo posto nelle agende dei CIO e CSO. SAP dispone di numerosi prodotti e soluzioni, dai moduli per la cybersecurity, a quelli per la supply chain, grazie ai quali Qintesi può creare ecosistemi sicuri per qualsiasi esigenza aziendale.

La tutela della sicurezza IT è fondamentale

È stato dimostrato, anche attraverso la narrazione non specialistica, quali danni può fare un data breach o un attacco ransomware, sia dal punto di vista economico sia dell’immagine, arrivando a bloccare asset strategici dell’impresa. In una situazione del genere i sistemi applicativi e gli ERP acquisiscono un ruolo strategico, sia per la loro crescente esposizione, sia per la natura e la qualità delle informazioni che detengono. Come dimostra questa ricercai rischi legati alla cybersecurity oggi sono il maggior driver di rischio nelle aziende e ne coinvolgono il 44%, superando anche l’interruzione di attività che si ferma al 42%.  

Per questa ragione, la messa in sicurezza dell’IT aziendale è al primo posto nelle agende dei CIO e CSO . Per quanto riguarda SAP, la Cybersecurity dispone di numerosi prodotti e soluzioni, grazie ai quali Qintesi può creare ecosistemi sicuri per qualsiasi esigenza aziendale. 

SAP, Cybersecurity attraverso le buone pratiche

All’interno del mondo della sicurezza informatica c’è una buzzword che circola da diverso tempo e che sintetizza in modo piuttosto chiaro come è necessario gestirla oggi: approccio olistico alla sicurezza, che, in estrema sintesi, significa che la cybersecurity non può e non deve limitarsi alle sole implementazioni tecnologiche.  

Non si tratta solo di una tendenza passeggera: anche SAP nel SAP Security Baseline Template (la raccolta delle best practice SAP in ambito Cybersecurity), spiega che la sicurezza non è un tema da considerarsi esclusivamente a livello tecnico, ma è un approccio completo, che abbraccia una molteplicità di temi come, per esempio, la governance o le policy a supporto della IT Security. Qintesi ha maturato esperienza e risultati in ognuna di queste aree rilevanti, ciascuna delle quali è indispensabile in un progetto di SAP Security: 

  • Governance, policy, gestione delle emergenze. 
  • Gestione degli accessi, dell’autenticazione e delle autorizzazioni (anche in ottica SOD). 
  • Parametrizzazione dei sistemi e delle comunicazioni da e verso i sistemi. 
  • Sicurezza del codice, sia standard sia custom. 
  • Sicurezza dell’infrastruttura.

Qintesi e la cybersecurity con SAP

La metodologia adottata da Qintesi prevede una fase di assessment iniziale per accertare e verificare il livello di sicurezza attuale, nel quale vengono principalmente evidenziati eventuali gap rispetto alle buone pratiche di riferimento. A questa prima fase segue la stesura di una lista di possibili remediation, in accordo con gli obiettivi condivisi con il cliente. In questa fase vengono stabilite le priorità operative e il relativo piano di implementazione.   

A seconda degli obiettivi, delle priorità e in generale dei piani di azione emersi nella prima fase di assessment, Qintesi suggerisce l’implementazione di uno o più strumenti fra quelli di SAP per la IT Security: 

  1. SAP GRC Access Control 
  2. SAP Enterprise Threat Detection 
  3. SAP UI Masking 
  4. SAP UI Logging 
  5. SAP CVA

SAP GRC Access Control permette di gestire e monitorare le autorizzazioni critiche che, se fornite a un utente, permettono potenzialmente l’esecuzione di attività sensibili. È possibile anche implementare un processo di provisioning strutturato che fornisce evidenza, ad ogni attribuzione o ad ogni nuova utenza, della presenza di permessi critici. 

Nel caso in cui non sia sufficiente segregare gli accessi ai dati tramite profilazione, è necessario intercettare l’accesso ai dati tramite SAP UI Logging e mascherare i dati ritenuti critici da qualsiasi accesso e da qualsiasi tipologia di utente tramite SAP UI Masking

SAP ETD (Enterprise Threat Detection) è uno strumento strutturato per il monitoraggio continuo dei sistemi SAP e non SAP al fine di individuare potenziali data breach o tentativi di data breach. 

Tramite appositi algoritmi di machine learning, SAP ETD è in grado di correlare eventi multipli anche su sistemi diversi, di identificare pattern critici in tempo reale e di notificare agli attori previsti.  

SAP CVA, SAP Solution Manager, Cybersecurity Cockpit. Per quanto riguarda l’analisi del codice custom, esiste uno strumento specifico (SAP CVA – Code Vulnerability Analyzer), che permette di effettuare un’analisi statica e identifica automaticamente eventuali exploit presenti. Questo strumento può essere anche integrato nella catena dei trasporti, permettendo, quindi, l’identificazione di anomalie code-related prima del passaggio in produzione, potendo anche bloccare il trasporto della CR problematica. 

SAP Solution Manager, infine, distribuisce alcuni interessanti security tool, per esempio per il monitoraggio e la gestione delle CR. 

Per garantire visibilità completa su tutta la sicurezza informatica aziendale, Qintesi ha sviluppato un Cybersecurity Cockpit che analizza e intercetta in tempo reale eventuali criticità, per esempio assegnazione di permessi critici, variazione di parametri di sistema, e creazione di RFC. Questo strumento supporta la determinazione delle misure di protezione appropriate al fine di fornire una overview del livello di sicurezza degli applicativi lungo tutta l’architettura SAP.

L’esperienza di Qintesi nella cybersecurity con SAP

Qintesi vanta una pluriennale esperienza nell’implementazione di modelli di Cybersecurity e delle soluzioni incluse nella suite Governance Risk e Compliance (GRC), ponendosi da sempre come leader del mercato EMEA. Leadership riconosciuta anche dalla relativa SAP® Recognized Expertise (REX) che SAP rilascia a seguito di un numero di progetti di successo e consulenti certificati. Accanto alle indiscusse competenze tecniche, Qintesi ha inoltre sviluppato nel corso degli anni robuste metodologie che consentono di recepire in maniera efficace le esigenze dei clienti, proponendo le soluzioni più adeguate al contesto di riferimento. L’unione di eccellenti competenze tecniche e funzionali, messe a disposizione da Qintesi, è garanzia per il cliente di un progetto di successo rilasciato nel minor tempo possibile.

Ricevi la nostra newsletter

Compila il form qui di seguito con i tuoi dati per rimanere sempre aggiornato sulle novità e gli eventi di Qintesi.

Come realizzare un profitto sostenibile

Approfondisci i trend e le linee guida per un’impresa sostenibile