Denne klumme er et debatindlæg og er alene udtryk for forfatternes synspunkter.
Velkommen. I min seneste klumme - som du kan læse her - lovede jeg at blive mere specifik på SAP-sikkerhed. Og man skal holde hvad man lover.
Når det så er sagt, så vil jeg i denne klumme introducere en medforfatter, for som Oscar Wilde sagde: ”Jeg er ikke ung nok til at vide alt.”
Når vi taler om SAP-sikkerhed, så skal man forstå, at det er mere op til systemejeren at sikre sikkerheden i form af systemsikkerheds-baselines, end det er op til slutbrugerens adfærd.
Det, man ofte ser, er, at mange aldrig har tænkt SAP-sikkerhed som SAP’s egen ”best practice” anbefaler jfr. SAP’s egen Security Operations Map.
Traditionen er, at man skal have roller og autorisationer for at have adgang til data og for at tilfredsstille revisionens krav til funktionsadskillelse.
Resten af SAP’ ”best practice” lever et mere usynligt liv.
Men inden vi kommer til det med roller og autorisationer, så tillad mig at gøre det med authentication og autorisation helt eksplicit:
Authentication er disciplinen, der handler om at give de rigtige folk adgang til et SAP-system. Authorization er disciplinen, der handler om at give de rigtige rettigheder til en funktion eller en applikation i SAP, som er relevant for deres job.
SAP har gennem de senere år udviklet standarderne for applikationssikkerhed betydeligt.
Dette er for at følge med behovet for at sikre ERP-platformens robusthed mod både interne og eksterne sikkerhedstrusler.
Referencemodellen
SAP’s best practice for sikkerhed rammes ind af SAP’s egen referencemodel for sikker drift af ERP-platformen, den såkaldte SAP Security Operations Map.
SAP Security Operations Map tager en 360 graders vinkel på de mange aspekter af sikkerhed, der skal tages i ed for at sikre en platforms robusthed.
Dertil skal nævnes, at selve SAP-platformen og stort set alle SAP’s funktionelle moduler, hver for sig kommer med en dedikeret Security Guide.
Denne foreskriver, hvordan sikkerhed konfigureres og håndteres for det pågældende modul.
Yderligere, så har SAP på lige fod med de fleste øvrige platformsleverandører, etableret SAP Trust Center.
SAP Trust Center besvarer alle gængse spørgsmål i forhold til SAP’s overordnede tilgang til sikkerhed.
Dette gøres med referencer til en 3. parts uvildig sikkerhedsrevision og certificeringer, sikkerhed og privacy i forbindelse med cloud løsninger og hosting centre, Secure Development Lifecyle og meget mere.
SAP Trust Center er en meget gennemarbejdet kilde til forståelse af SAP-sikkerhed i forskellige kontekster.
Det er dog væsentligt at være opmærksom på, at hvad SAP leverer out-of-the-box for nye og hostede løsninger og i dag definerer som best practice ikke nødvendigvis stemmer overens med de mange etablerede SAP ERP-løsninger, der gennem mange år har været - og fortsat er - data-kernen i mange virksomheder.
Man må spørge sig selv om sikkerheden i disse eksisterende vitale SAP-løsninger har udviklet sig i takt med den viden og konceptualisering, som er kommet til gennem de senere år.
Og med den forestående S/4 HANA transformation (SAP’s nye platform, som erstatter SAP ECC-platformen) er det af afgørende betydning for sikkerheden, at man ikke ”slæber” de gamle sårbarheder med ind på den nye platform.
Alle SAP ECC-kunder skal migrere til S/4 HANA og SAP Fiori inden 2027.
Ikke sikker som standard
Det forholder sig sådan, at de mange sikkerhedsretningslinjer, som findes, i høj grad er afhængige af at blive taget aktivt stilling til og efterfølgende implementeret.
Dette fordi, at systemerne som udgangspunkt ikke er - og historisk set ikke har været – ”Secure by Default”.
Derfor er en aktiv og dedikeret SAP-sikkerhedsstrategi påkrævet.
En SAP-sikkerhedsstrategi som nødvendigvis må være en indlejret del af en overordnet corporate cybersikkerhedsstrategi, hvor alle væsentlige aspekter af en virksomheds sikkerhed skal være taget i ed.
Her er det helt essentielt, at man ikke vurderer SAP-applikationssikkerhed som værende på niveau med mange andre mindre, ikke-kritiske og mere simple applikationer.
SAP-applikationssikkerhed kræver særlig opmærksomhed. Dette skyldes SAP-applikationens enorme omfang, udbredelse og betydning for kritiske forretningsprocesser og dermed en virksomheds evne til at levere resultater.
Husk på, at SAP-teknologien er sin egen og forudsætter SAP-teknologiske kompetencer og specialværktøjer for at mestre sikkerheden.
Som tidligere nævnt er SAP Secure Operations MAP en god ressource.
SAP Secure Operations MAP adresserer alle de vigtige aspekter af SAP-sikkerhed.
Dette ikke bare i applikations-laget, men også i de omkringliggende lag af sikkerhed: Organisationen, processer, applikationen, systemet og det infrastrukturelle miljø.
Referencemodellen skaber et solidt grundlag for at integrere SAP-sikkerhedsstrategien med en virksomheds øvrige sikkerhedsstrategi, hvor de fleste sikkerhedskontroller går igen men udmønter sig på teknologisk forskellig vis.
Husk at være opmærksom på, at enhver ny teknologi – herunder SAP S/4 HANA – altid vil skabe nye udfordringer. Dette er den primære grund til, at cybersecurity er kommet for at blive og årsagen til, at cybersecurity er på alles agenda.
Husk også, at SAP-sikkerhed er et stort og komplekst område, som kræver masser af viden og indsigt. Netop dette forhold, kombineret med et SAP-systems vitale rolle for mange virksomheder gør, at det ikke er en skam at bede om hjælp.
I næste klumme bliver den eksterne SAP-sikkerhed adresseret.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
Kilder:
SAP Trust Center: https://www.sap.com/about/trust-center.html
SAP Security Notes & News: https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
SAP Security Operations MAP: https://www.sap.com/documents/2017/03/14cf06b2-af7c-0010-82c7-eda71af511fa.html
SAP Announces Extension of Mainstream Maintenance for SAP ERP 6.0 Until the End of 2027: https://www.sapinsideronline.com/sap-announces-extension-of-mainstream-maintenance-for-sap-erp-6-0-until-the-end-of-2027.html