Filary bezpieczeństwa SAP | All for One Poland
Wyszukiwarka

Wpisz szukane wyrażenie

Service desk Kontakt Szukaj
PL/EN
Polski English
Autor: Artur Pająk
Publikacja: 2024, Lepszy Biznes

Filary bezpieczeństwa SAP

Ochrona danych, procedur, tożsamości użytkowników

Systemy SAP to szczególny przypadek, w którym należy zastosować rygorystyczne środki bezpieczeństwa i ochrony przed zagrożeniami. Są one wypełnione danymi atrakcyjnymi dla hakerów, takimi jak informacje poufne, np. dokumentacja finansowa, procedury, dane osobowe klientów, dane kont bankowych i własność intelektualna. Dane z systemu mogą też zostać wykorzystane do kradzieży tożsamości, oszustw, szpiegostwa przemysłowego i międzynarodowego, a także działań phishingowych, w których hakerzy oszukują pracowników, wyłudzając przelewanie środków na zagraniczne konta bankowe. Przedstawiamy najważniejsze filary, na których powinien się opierać skuteczny system cyberbezpieczeństwa SAP.

Systemy SAP to szczególny przypadek, w którym należy zastosować rygorystyczne środki bezpieczeństwa i ochrony przed zagrożeniami. Są one wypełnione danymi atrakcyjnymi dla hakerów, takimi jak informacje poufne, np. dokumentacja finansowa, procedury, dane osobowe klientów, dane kont bankowych i własność intelektualna. Dane z systemu mogą też zostać wykorzystane do kradzieży tożsamości, oszustw, szpiegostwa przemysłowego i międzynarodowego, a także działań phishingowych, w których hakerzy oszukują pracowników, wyłudzając przelewanie środków na zagraniczne konta bankowe. Przedstawiamy najważniejsze filary, na których powinien się opierać skuteczny system cyberbezpieczeństwa SAP.

Bezpieczeństwo SAP to działanie równoważące, które obejmuje wszystkie narzędzia, procesy i mechanizmy kontrolne wprowadzone w celu ograniczenia dostępu użytkowników do środowiska SAP. Podobna metodologia stosowana jest podczas projektowania i wdrażania szeroko rozumianego bezpieczeństwa na poziomie całej organizacji. Niemniej podczas projektowania systemu cyberbezpieczeństwa dla SAP należy wziąć pod uwagę pewne różnice między bezpieczeństwem cybernetycznym skupiającym się przede wszystkim na ochronie przez zagrożeniami zewnętrznymi, a bezpieczeństwem SAP, koncentrującym się na zagrożeniach wewnętrznych.

Główna różnica polega na tym, że z założenia każdy użytkownik w sieci przedsiębiorstwa może korzystać z aplikacji SAP, a użytkownicy mają poziom dostępu odpowiedni do ich roli określonej zgodnie z procedurami zarządzania ryzykiem oraz kontroli (GRC). Natomiast działania związane z ochroną przed atakami koncentrują się na utrzymaniu wrogich podmiotów poza siecią i systemami przedsiębiorstwa. Obejmują one głównie wykrywanie włamań, monitorowanie zapory ogniowej oraz zarządzanie tożsamością i dostępem (IAM).

Cyber Security vs. SAP Security

Zacznij od audytu

Każda organizacja jest inna, korzysta z odmiennych systemów informatycznych i bazuje na różnych procesach biznesowych. Z tego powodu procesy zachodzące w obszarze bezpieczeństwa powinny rozpocząć się od wewnętrznego audytu IT, najlepiej przy udziale specjalizującego się w tego rodzaju projektach podmiotu, który pomoże określić potrzeby organizacji, sklasyfikuje elementy podlegające zagrożeniu, nada im odpowiedni priorytet oraz poziom ochrony z uwzględnieniem wartości rzeczy rozumianej jako informacja. Na samą efektywność procesu projektowania ma wpływ kilka czynników, takich jak:

  • rozbieżne cele IT vs. biznes,
  • brak strategicznych decyzji dotyczących bezpieczeństwa,
  • brak właściciela procesu,
  • złożoność projektowanego systemu bezpieczeństwa,
  • brak skalowalności rozwiązania wraz z rozwojem organizacji,
  • brak dokumentacji projektowej, kontroli postępu oraz wskaźników potwierdzających osiągnięcie celu.

Ludzie

Nie mniej istotnym, a właściwie najważniejszym elementem projektu są ludzie. Elastyczny, energiczny, a przede wszystkim zaangażowany i kompetentny zespół znacznie wpływa na poziom bezpieczeństwa systemów SAP już na etapie projektowania oraz gwarantuje końcowe osiągnięcie założonego celu. Dobrze przygotowany zespół ma w swoim składzie osoby odpowiedzialne za podejmowanie decyzji, techniczne – odpowiadające z wdrożenie poszczególnych systemów, funkcjonalne – odpowiadające za aspekty biznesowe działania aplikacji, a także osoby z obszaru bezpieczeństwa systemów IT, w tym SAP.  Przygotowując zespół, należy uwzględnić:

  • liczebność zespołu w zależności od ważności, wielkości i pilności projektu,
  • transfer wiedzy dotyczący wymagań funkcjonalnych i technicznych,
  • komunikację między członkami zespołu,
  • kontrolę postępu.

Bezpieczeństwo danych

Priorytetowym działaniem zespołu jest zapewnienie bezpiecznego przechowywania, przetwarzania i przesyłania danych, czyli zabezpieczenie ich przed umyślnym lub przypadkowym ujawnieniem, modyfikacją lub zniszczeniem. Najważniejszymi atrybutami projektowanego systemu są: poufność, autentyczność, integralność, dostępność oraz niezawodność. Ich zapewnienie wymaga równoległego stosowania rozmaitych metod i środków ochrony. Na ogół odbywa się to kosztem funkcjonalności i efektywności systemu. Dlatego podczas projektowania bezpieczeństwa należy wziąć pod uwagę kilka głównych czynników mających wpływ na podjęte działania:

  • sposób dostępu oraz kontroli dostępu do aplikacji SAP,
  • zabezpieczenie poszczególnych warstw systemu: platforma sprzętowa, poziom systemu operacyjnego, poziom bazy danych (szyfrowania, kopia bezpieczeństwa), poziom aplikacji SAP,
  • lokalizacja systemów (chmura, on-premise) wraz z regułami komunikacji między nimi,
  • reguły dostępu awaryjnego „firefighters”.

Kryteria bezpieczeństwa warstw systemu

Kontrola dostępu

Szczególnym elementem bezpieczeństwa oraz poufności danych jest świadoma kontrola dostępu, która musi być płynna, aby użytkownicy nie byli blokowani w przepływie pracy. Użytkownikom należy umożliwić dostęp do wykonania wymaganych aktywności zawodowych z jednoczesnym uniemożliwieniem przeglądania lub modyfikowania danych, do których nie są upoważnieni. We wspomnianych aspektach bezpieczeństwo aplikacji SAP jest skupione w trzech obszarach:

  • kontroli dostępu realizowanej przez jednoznaczną identyfikację użytkownika,
  • bezpieczeństwie danych realizowanym przez ograniczenia dostępu do danych według roli,
  • bezpieczeństwie samej aplikacji przez zarządzanie poprawkami, kontrolą i zarządzaniem dostępem uprzywilejowanym (brak dostępu administracyjnego dla osób nieuprawnionych).

Jednoznaczna identyfikacja użytkownika polega na udzieleniu dostępu do systemu tylko użytkownikowi, który w procesie logowania zidentyfikuje swoją tożsamość przez podanie nazwy użytkownika i hasła lub przy wykorzystaniu metody rozszerzonej o kolejny składnik autoryzacji, np. kod SMS. Po poprawnym logowaniu do systemu na podstawie przypisanych użytkownikom ról wykonywany jest kolejny etap weryfikacji, pozwalający na dostęp do zgromadzonych danych.

Taki sposób kontroli dostępu wymusza na zespole projektowym przyłożenie szczególnej staranności i uwagi podczas przygotowania koncepcji i wdrożenia matrycy uprawnień z uwzględnieniem rozdziału obowiązków (Segregation of Duties). Przed wykonaniem tego działania powinna zostać przeprowadzona analiza uprawnień. Powodem takiej analizy jest ograniczenie jednego z podstawowych wewnętrznych ryzyk dla organizacji, czyli zbyt szerokiego dostępu pojedynczego użytkownika do systemu.

Konflikt rozdziału obowiązków (SoD) powstaje, kiedy jeden użytkownik może wykonać w systemie lub pomiędzy systemami czynności, które z punktu widzenia kontroli wewnętrznej firmy, bezpieczeństwa procesów w firmie, dobrych praktyk biznesowych, regulacji prawnych powinny być rozdzielone i wykonywane przez co najmniej dwóch pracowników. Sam proces wprowadzania oraz zarządzania konfliktami rozdziału obowiązków jest procesem ciągłym.

Proces ciągłego doskonalenia bezpieczeństwa systemu

Przed produkcyjnym oddaniem systemu użytkownikom powinien zostać przeprowadzany cały szereg testów potwierdzających jego gotowość do świadczenia usług. Elementem testów powinny być również aspekty bezpieczeństwa oparte na modelu implementacji uprawnień odpowiadającym za poziom selektywności dostępu do danych. W szczególności dla modelu SoD muszą być przeprowadzone testy eliminacyjne, potwierdzające regułę, że jeden użytkownik nie może przeprowadzić całej ścieżki procesu, np. użytkownik mający uprawnienia do zakładania dostawców w systemie nie powinien mieć uprawnień do płacenia im.

Rozwój aplikacji

Inną zmienną, którą należy uwzględnić na etapie projektu i podczas zarządzania ryzykiem, jest sam rozwój aplikacji SAP. Pierwotnie środowisko systemu było dość izolowane, ale wraz z dynamicznym rozwojem interfejsu użytkownika Fiori, a tym samym dostępem do niego z szerokiego świata publicznego Internetu i komputerów mobilnych, zwiększył się także obszar ataku na aplikację. Atakujący mają obecnie znacznie więcej punktów podatności na eksplorację.

Niezabezpieczone Fiori może wprowadzać nowe luki, w rzeczywistości narażając całe środowisko na zagrożenia z powodu wadliwych zabezpieczeń interfejsu. Potęguje to fakt, że punkt wejścia do systemu jest prawie nieistotny w dzisiejszym krajobrazie cyberzagrożeń. Coraz częściej atakujący wykorzystują szerokie spektrum automatycznych botów opartych na sztucznej inteligencji, aby zbadać sieci korporacyjne pod kątem luk w zabezpieczeniach. Zautomatyzowani napastnicy mogą znaleźć drogę do sieci i ukryć swoje działania, dopóki nie zostaną aktywowani przez nadzorców. Ograniczanie ryzyka dla systemów SAP i cennych danych w nich zawartych wymaga przyjęcia szeregu najlepszych praktyk bezpieczeństwa SAP Fiori.

Reguły ekspozycji interfejsu SAP Fiori

Utwardzanie systemu

Głównym celem projektu „Bezpieczny SAP” jest przeprowadzenie działań równoważących zagrożenia, w wyniku których pozyskujemy dobrze zabezpieczone środowisko SAP, gwarantujące ciągłość działania, bezpieczną i optymalną konfigurację. Proces ten nazywamy utwardzaniem systemów (hardening). Polega on na wprowadzaniu do systemów zmian minimalizujących ryzyko ataku z zewnątrz oraz wypływu złośliwego oprogramowania.

Podejmując działania, należy zwrócić szczególną uwagę na ich późniejszą kontynuację, polegającą na nieustającym monitoringu środowiska, audytach, wyciąganiu wniosków i wprowadzaniu ulepszeń. Dobrze udokumentowana kontrola stanu bezpieczeństwa zapewni organizacji priorytetową listę problemów oraz zadań wymaganych do podjęcia w celu eliminacji zagrożeń.

Proces ciągłego doskonalenia bezpieczeństwa systemu

Integracja narzędzi cybersecurity

Bezpieczeństwo w aplikacjach SAP działa skutecznie, gdy wbudowane w SAP mechanizmy kontroli są dobrze zintegrowane z szerszymi funkcjami cyberbezpieczeństwa organizacji i GRC. Przykładam takiej integracji może być korzystanie z rozwiązania SAP do zarządzania tożsamością (IDM) zintegrowanego z usługą Microsoft Active Directory. W ten sposób, jeśli pracownik odejdzie z firmy, zostanie również zablokowany w SAP. Bardzo często zdarza się, że użytkownik pracownika po zakończeniu współpracy pozostaje aktywny w systemie.

Dobrą praktyką jest również integracja systemu SAP z zewnętrznym systemem monitoringu, w szczególności z takim, który potrafi analizować logi security, wyszukując incydenty i naruszenia (np. typu SIEM).

Z kolei rozwiązanie GRC analizuje, co użytkownicy mogą zrobić i robią w systemie, a następnie tworzy zasady eliminujące ryzyko i spełniające wymogi zgodności z przepisami. Dział bezpieczeństwa SAP na co dzień wdraża te zasady — na przykład udostępniając nowych użytkowników i badając oznaki świadczące o tym, że system nie działa zgodnie z wymaganiami GRC. Oprogramowanie GRC pomaga zarówno zespołowi GRC, jak i zespołowi bezpieczeństwa SAP wykonywać swoją pracę wydajniej i efektywniej. Dobrze zaprojektowany system bezpieczeństwa działający sprawnie każdego dnia informuje właścicieli procesów i zapewnia im możliwości dostosowania się do zmian w organizacji.

Zobacz także

Zapasowe centrum przetwarzania danych Disaster Recovery Center
Security Operations Center Cyberbezpieczeństwo kompleksowo
Monitoring systemów i sieci Zdalna kontrola w trybie 24/7
Zarządzanie użytkownikami i uprawnieniami Zarządzanie dostępem do zasobów IT
Audyt IT Audyt bezpieczeństwa IT
Wdrożenie ISO/IEC 27001 System Zarządzania Bezpieczeństwem Informacji
Napisz do nas Zadzwoń Wyślij email






    1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
    2. Administratorem Danych Osobowych jest All for One Poland sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: iod@all-for-one.com.
    3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
    4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
    5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
    6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
    7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy All for One Poland sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. All for One Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

    61 827 70 00

    Biuro jest czynne
    od poniedziałku do piątku
    w godz. 8:00 – 16:00 (CET)

    Kontakt ogólny do firmy
    office.pl@all-for-one.com

    Pytania o produkty i usługi
    info.pl@all-for-one.com

    Pytania na temat pracy i staży
    kariera@all-for-one.com

    This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.