Vulnerability Management & Hardening voor SAP

Voorkomen is beter dan genezen

Het beveiligen van een SAP systeem is een complexe en zeer tijdrovende klus. Daarnaast zijn de informatiebronnen over SAP Security verspreid, uitgebreid, complex en zelfs voor een SAP consultant soms moeilijk te begrijpen.

Zowel SAP als de wereld eromheen is sterk veranderd. Om enkele voorbeelden te geven:

Toename van wet- en regelgeving. Een voorbeeld hiervan is de AVG;
Toename van dreigingen door kwaadwillenden, zoals bijvoorbeeld buitenlandse overheden, APT’s cybercriminelen en medewerkers;
Van on-premise naar hybride en zelfs volledig naar public cloud omgevingen;
Auditors kijken steeds kritischer en uitgebreider naar SAP security, waar voorheen met name alleen naar “segregation of duties” (autorisaties) werd gekeken. Dit resulteert in meer audit-bevindingen;
Organisaties stellen steeds hogere informatiebeveiligingseisen aan leveranciers.

📝 ook interessant om te lezen: “Wat te doen met GDPR?“

Gevolg van deze ontwikkelingen is dat complexiteit en risico’s de afgelopen jaren aanzienlijk zijn toegenomen.

myBrand Conclusion heeft deze uitdaging bij klanten herkend en een dienst ontwikkeld waarbij er structureel invulling wordt gegeven aan het preventief beveiligen van het SAP platform, inclusief besturingssysteem en database. Dit biedt de mogelijkheid om altijd een actueel en historisch overzicht te overhandigen aan bijvoorbeeld je stakeholders of auditors. Door dit continue proces, heb je altijd inzicht in de risico’s en ben je in staat om hier constant op de sturen.

“IT security is becoming increasingly important nowadays and that is certainly the case for the security of our SAP systems. With our SAP partner myBrand together with the software of Protect4S, we can structurally manage our risks and improve our SAP security.”

Marianna Pothof van Bekkum, Manager HR Services, Functional Application Manager at Province of Overijssel

Aanpak

Stap 1: Doelen vaststellen

Wat is het risicoacceptatie niveau? Wat willen we bereiken In welke periode? Vragen die vooraf worden besproken en vastgelegd.

Stap 2: Selectie systemen en objecten

De klant bepaalt samen met myBrand welke systemen in scope zijn van deze dienst.

Stap 3: Configuratie scans

myBrand zal in overleg de scan op het scanplatform configureren. De klant dient toestemming en ondersteuning te geven voor de toegang tot haar SAP landschap.

Stap 4: Analyse en advies

De eerste scan resultaten worden door de technisch coördinator geanalyseerd en met de klant besproken. Op basis van deze analyse en het gesprek wordt een advies opgesteld en bijbehorende verbeteracties voorgesteld.

Stap 5: Operationaliseren conform beleid van de klant

De scans worden, zoals overeengekomen, periodiek uitgevoerd. De uitkomsten worden gerapporteerd en myBrand voorziet de klant van advies. Dit wordt vastgelegd in de Service Level Rapportage (SLR).

Periodieke scan

De periodieke scan vindt volledig geautomatiseerd plaats door een door SAP gecertificeerde third party add-on op een SAP Solution Manager systeem. Deze dienst vereist geen additionele installatie van software op de systemen van de klant of extra hardware.

Op basis van de scanuitkomsten vindt er een analyse plaats en hierover wordt gerapporteerd en geadviseerd in een SLR. Als klant kies je ervoor, met eventuele ondersteuning van myBrand Conclusion, of je de geconstateerde risico’s wilt mitigeren, remediëren of accepteren. Dit alles wordt geregistreerd via het reguliere service management proces, waardoor de dienst een volledig integraal onderdeel is van myBrand Conclusion’s dienstverlening.

Door gebruik te maken van de dienst, wordt het volgende bereikt:

Van reactief naar preventief;
Inzicht in en ‘in control’ van risico’s van het SAP landschap;
Aantoonbaar compliant;
Mogelijkheid om up-to-date te zijn met security notes*;
Kostenverlagend ten opzichte van handmatige controles en activiteiten.

*Dit geld talleen voor SAP Security notes die geen handmatige acties vereisen. Ondanks dat dit is geautomatiseerd, dienen er nog steeds beperkte additionele activiteiten te worden uitgevoerd.

myBrand Conclusion is in Nederland de partner met de meeste ervaring in retail. En dat merken wij. Zij ondersteunen ons niet alleen op technisch vlak, maar ook op businessvlak. Ze begrijpen onze wensen en weten hoe je die moet vertalen naar de software.

Paul John Bakker

Hoofd Global Enterprise Solutions

myBrand Conclusion heeft niet alleen technische expertise, maar ook domeinkennis. En - nog belangrijker - ze stellen zich op als partner. Ze voelen zich verantwoordelijk voor het succes van het project.

Paul Slaats

Director R&D

Heijmans bouwt met partner myBrand Conclusion aan haar digitale snelweg. Gefundeerd op de myBrand Conclusion Private Cloud en Solide SAP Service.

Hendrik-Jan Smaal

Chief Information Officer

Doordat er veel grote projecten lopen én op de planning staan, gingen we op zoek naar een partner voor de lange termijn. Die hebben we in myBrand Conclusion gevonden.

Edwin Marrink

Business Process Manager

Door OutSystems als een flexibele schil om ons SAP-systeem heen te leggen, krijgen we de mogelijkheid om veel extra functies en mobiele schermen toe te voegen. Het team van myBrand Conclusion ondersteunt ons hierin perfect.