Vulnerability Management & Hardening voor SAP

Voorkomen is beter dan genezen

Adviesgesprek aanvragen
HomeSecurity & PrivacyVulnerability Management & Hardening voor SAP

Het beveiligen van een SAP systeem is een complexe en zeer tijdrovende klus. Daarnaast zijn de informatiebronnen over SAP Security verspreid, uitgebreid, complex en zelfs voor een SAP consultant soms moeilijk te begrijpen.

Zowel SAP als de wereld eromheen is sterk veranderd. Om enkele voorbeelden te geven:

  • Toename van wet- en regelgeving. Een voorbeeld hiervan is de AVG;
  • Toename van dreigingen door kwaadwillenden, zoals bijvoorbeeld buitenlandse overheden, APT’s cybercriminelen en medewerkers;
  • Van on-premise naar hybride en zelfs volledig naar public cloud omgevingen;
  • Auditors kijken steeds kritischer en uitgebreider naar SAP security, waar voorheen met name alleen naar “segregation of duties” (autorisaties) werd gekeken. Dit resulteert in meer audit-bevindingen;
  • Organisaties stellen steeds hogere informatiebeveiligingseisen aan leveranciers.
📝 ook interessant om te lezen: “Wat te doen met GDPR?

Gevolg van deze ontwikkelingen is dat complexiteit en risico’s de afgelopen jaren aanzienlijk zijn toegenomen.

myBrand heeft deze uitdaging bij klanten herkend en een dienst ontwikkeld waarbij er structureel invulling wordt gegeven aan het preventief beveiligen van het SAP platform, inclusief besturingssysteem en database. Dit biedt de mogelijkheid om altijd een actueel en historisch overzicht te overhandigen aan bijvoorbeeld je stakeholders of auditors. Door dit continue proces, heb je altijd inzicht in de risico’s en ben je in staat om hier constant op de sturen.

Aanpak

Stap 1: Doelen vaststellen

Wat is het risicoacceptatie niveau? Wat willen we bereiken In welke periode? Vragen die vooraf worden besproken en vastgelegd.

Stap 2: Selectie systemen en objecten

De klant bepaalt samen met myBrand welke systemen in scope zijn van deze dienst.

Stap 3: Configuratie scans

myBrand zal in overleg de scan op het scanplatform configureren. De klant dient toestemming en ondersteuning te geven voor de toegang tot haar SAP landschap.

Stap 4: Analyse en advies

De eerste scan resultaten worden door de technisch coördinator geanalyseerd en met de klant besproken. Op basis van deze analyse en het gesprek wordt een advies opgesteld en bijbehorende verbeteracties voorgesteld.

Stap 5: Operationaliseren conform beleid van de klant

De scans worden, zoals overeengekomen, periodiek uitgevoerd. De uitkomsten worden gerapporteerd en myBrand voorziet de klant van advies. Dit wordt vastgelegd in de Service Level Rapportage (SLR).

Periodieke scan

De periodieke scan vindt volledig geautomatiseerd plaats door een door SAP gecertificeerde third party add-on op een SAP Solution Manager systeem. Deze dienst vereist geen additionele installatie van software op de systemen van de klant of extra hardware.

Op basis van de scanuitkomsten vindt er een analyse plaats en hierover wordt gerapporteerd en geadviseerd in een SLR. Als klant kies je ervoor, met eventuele ondersteuning van myBrand, of je de geconstateerde risico’s wilt mitigeren, remediëren of accepteren. Dit alles wordt geregistreerd via het reguliere service management proces, waardoor de dienst een volledig integraal onderdeel is van myBrand’s dienstverlening.

Door gebruik te maken van de dienst, wordt het volgende bereikt:

  • Van reactief naar preventief;
  • Inzicht in en ‘in control’ van risico’s van het SAP landschap;
  • Aantoonbaar compliant;
  • Mogelijkheid om up-to-date te zijn met security notes*;
  • Kostenverlagend ten opzichte van handmatige controles en activiteiten.

*Dit geld talleen voor SAP Security notes die geen handmatige acties vereisen. Ondanks dat dit is geautomatiseerd, dienen er nog steeds beperkte additionele activiteiten te worden uitgevoerd.