Vulnerability Management & Hardening voor SAP

Voorkomen is beter dan genezen

Adviesgesprek aanvragen

Het beveiligen van een SAP systeem is een complexe en zeer tijdrovende klus. Daarnaast zijn de informatiebronnen over SAP Security verspreid, uitgebreid, complex en zelfs voor een SAP consultant soms moeilijk te begrijpen.

Zowel SAP als de wereld eromheen is sterk veranderd. Om enkele voorbeelden te geven:

  • Toename van wet- en regelgeving. Een voorbeeld hiervan is de AVG;
  • Toename van dreigingen door kwaadwillenden, zoals bijvoorbeeld buitenlandse overheden, APT’s cybercriminelen en medewerkers;
  • Van on-premise naar hybride en zelfs volledig naar public cloud omgevingen;
  • Auditors kijken steeds kritischer en uitgebreider naar SAP security, waar voorheen met name alleen naar “segregation of duties” (autorisaties) werd gekeken. Dit resulteert in meer audit-bevindingen;
  • Organisaties stellen steeds hogere informatiebeveiligingseisen aan leveranciers.
📝 ook interessant om te lezen: “Wat te doen met GDPR?

Gevolg van deze ontwikkelingen is dat complexiteit en risico’s de afgelopen jaren aanzienlijk zijn toegenomen.

myBrand Conclusion heeft deze uitdaging bij klanten herkend en een dienst ontwikkeld waarbij er structureel invulling wordt gegeven aan het preventief beveiligen van het SAP platform, inclusief besturingssysteem en database. Dit biedt de mogelijkheid om altijd een actueel en historisch overzicht te overhandigen aan bijvoorbeeld je stakeholders of auditors. Door dit continue proces, heb je altijd inzicht in de risico’s en ben je in staat om hier constant op de sturen.

mybrand diagram vulnerability

Aanpak

Wat is het risicoacceptatie niveau? Wat willen we bereiken In welke periode? Vragen die vooraf worden besproken en vastgelegd.

De klant bepaalt samen met myBrand welke systemen in scope zijn van deze dienst.

myBrand zal in overleg de scan op het scanplatform configureren. De klant dient toestemming en ondersteuning te geven voor de toegang tot haar SAP landschap.

De eerste scan resultaten worden door de technisch coördinator geanalyseerd en met de klant besproken. Op basis van deze analyse en het gesprek wordt een advies opgesteld en bijbehorende verbeteracties voorgesteld.

De scans worden, zoals overeengekomen, periodiek uitgevoerd. De uitkomsten worden gerapporteerd en myBrand voorziet de klant van advies. Dit wordt vastgelegd in de Service Level Rapportage (SLR).

Periodieke scan

De periodieke scan vindt volledig geautomatiseerd plaats door een door SAP gecertificeerde third party add-on op een SAP Solution Manager systeem. Deze dienst vereist geen additionele installatie van software op de systemen van de klant of extra hardware.

Op basis van de scanuitkomsten vindt er een analyse plaats en hierover wordt gerapporteerd en geadviseerd in een SLR. Als klant kies je ervoor, met eventuele ondersteuning van myBrand Conclusion, of je de geconstateerde risico’s wilt mitigeren, remediëren of accepteren. Dit alles wordt geregistreerd via het reguliere service management proces, waardoor de dienst een volledig integraal onderdeel is van myBrand Conclusion’s dienstverlening.

Door gebruik te maken van de dienst, wordt het volgende bereikt:

  • Van reactief naar preventief;
  • Inzicht in en ‘in control’ van risico’s van het SAP landschap;
  • Aantoonbaar compliant;
  • Mogelijkheid om up-to-date te zijn met security notes*;
  • Kostenverlagend ten opzichte van handmatige controles en activiteiten.

*Dit geld talleen voor SAP Security notes die geen handmatige acties vereisen. Ondanks dat dit is geautomatiseerd, dienen er nog steeds beperkte additionele activiteiten te worden uitgevoerd.

Relevante verhalen

Kennis

5 tips voor een veilige integratie van een SAP-landschap

We leven in een tijdperk waarin de applicaties in een IT-landschap steeds diverser worden en...

Lees meer

Kennis

Encryptie? Relevanter dan ooit!

Per 25 mei 2018 zal de nieuwe Europese privacy wet, Algemene Verordening Gegevensverwerking (AVG) genaamd,...

Lees meer

Kennis

Wat te doen met GDPR?

Wat houdt de GDPR in? Op 25 mei 2016 is de General Data Protection Regulation...

Lees meer