SAP Security - proteção de dados segura

Segurança SAPUma compreensão completa do SAP Security é importante para entender o software e cumprir a promessa subjacente de segurança de dados.

A melhor maneira de conhecer a segurança SAP é lendo a documentação fornecida pela empresa. Para muitos dos envolvidos na empresa, no entanto, isso é muito demorado, especialmente sem contato direto com a SAP Security.

Uma visão geral dos aspectos mais importantes da segurança SAP é, portanto, um bom começo e é suficiente para alguns usuários: Quais aspectos tornam um sistema SAP seguro? O que realmente significa segurança SAP?

O que é Segurança SAP?

 

O SAP Security é um sistema para proteger dados e aplicativos SAP contra acesso e uso não autorizados. A SAP oferece uma série de verificações de segurança para garantir que esses dados estejam protegidos. A Segurança SAP garante que as funções SAP sejam usadas apenas por usuários que estão fazendo seu trabalho. Os sistemas SAP armazenam informações sensíveis e confidenciais de clientes e empresas. Auditorias regulares dos sistemas SAP são necessárias para garantir a integridade e segurança dos dados. Isso também se aplica aos processos e distribuição de áreas de responsabilidade: Por exemplo, um funcionário em um depósito responsável pela criação de pedidos não tem permissão para aprová-los. No entanto, ele pode criar e processar quantos pedidos quiser. Neste exemplo, no entanto, os pedidos devem ser aprovados por um gerente ou outro funcionário com uma área de responsabilidade correspondente - que não tem permissão para criar pedidos, por exemplo. Essa forma de dividir as áreas de responsabilidade e as restrições de atividade correspondentes é um recurso de segurança padrão que também pode ser encontrado no SAP Security, por exemplo, por meio do SAP ACL. No entanto, o SAP Security vai muito além disso e também afeta, por exemplo, aspectos técnicos de criptografia, a desativação de portas de rede desnecessárias ou a introdução de uma política de segurança. Para tudo isso, uma coisa é necessária acima de tudo: pessoal especializado e funcionários treinados.

Treinamento SAP com foco em segurança

 

A diversidade do software SAP é refletida nas opções de educação e treinamento adicionais: Um O treinamento SAP geralmente é específico de módulo e nível, por exemplo para usuários ou consultores, para o módulo SAP FI ou para a área de segurança SAP. As grandes empresas geralmente têm vários funcionários responsáveis ​​por um único módulo ou tarefa no SAP. Exemplo SAP FI: O módulo para contabilidade financeira. É aqui que são elaborados os balanços da empresa. Como regra, há pelo menos um responsável por país que deve estar familiarizado com todas as leis econômicas. Em grandes empresas, o SAP LE / LES Logistics é um módulo complexo no qual muitos funcionários também estão trabalhando. Mesmo na área de segurança SAP, as empresas de médio porte já devem ter um funcionário dedicado.

Como o Privacy Framework da SAP protege os dados da empresa

A SAP usa vários controles de segurança e certificações ISO no desenvolvimento de produtos baseados em nuvem. Os três níveis da estrutura de proteção de dados abrangem o básico, as melhores práticas, proteção de dados e transparência. No entanto, o uso do SAP ERP na empresa não traz segurança de dados e proteção de dados - simplesmente existem muitas interfaces que estão fora do alcance do SAP e que devem ser protegidas pela própria empresa como parte da integração do sistema:

Criptografia do tráfego de dados

Por exemplo, a SAP atualmente não protege todas as comunicações entre os sistemas SAP e os clientes. Isso torna os dados transmitidos nas redes SAP inseguros e suscetíveis a medidas de espionagem. Em particular, as transferências de dados dentro das redes SAP não são protegidas por criptografia forte. Por este motivo, recomenda-se mudar para HTTPS/SSL para a conexão entre ambientes heterogêneos ou Comunicação de rede segura (SNC) usar. SNC é um protocolo padrão para comunicação de rede segura que é executado nativamente no Windows. Ele protege suas conexões entre ambientes heterogêneos. Além disso, a comunicação baseada na web deve ser protegida por protocolos seguros e os usuários devem usar as versões mais recentes do SAP GUI com configurações de segurança personalizadas e regras de segurança.

Desativação de portas desnecessárias na rede

Além da criptografia, a SAP também recomenda a desativação de portas de rede desnecessárias e o bloqueio de conexões entre sistemas ABAP e redes de usuários finais. Além disso, o acesso administrativo só deve ser permitido por meio de protocolos seguros. Além disso, o acesso administrativo deve ser restrito a estações de trabalho e sub-redes dedicadas. Por fim, verifique se o SAP GUI está sendo executado em 7.10 ou 7.20 (a partir de janeiro de 2022) e se as configurações de segurança estão ativadas.

Por que o SAP ACL é importante para a segurança?

Grandes quantidades de dados confidenciais são armazenadas em sistemas SAP. Os funcionários devem ter acesso a todos os dados de que precisam para realizar seus trabalhos, mas não devem poder acessar todos os dados do sistema. Isso pode criar problemas se os funcionários acessarem acidentalmente dados que não deveriam poder acessar. Também pode representar um risco se alguém mal-intencionado ou não autorizado obtiver acesso às informações. Há também o risco de vazamento de dados ou fraude. Além disso, sempre existe a possibilidade de um funcionário ter acesso inadvertidamente a informações confidenciais. É importante proteger essas informações contra violações para garantir que o sistema permaneça atualizado e seguro:

O uso das chamadas ACLs (Access Control Lists) é, portanto, crucial para a proteção dos dados da empresa em um sistema SAP: Uma lista de controle de acesso é usada para gerenciar e restringir o acesso aos sistemas SAP. Permite restringir o acesso às bases de dados relevantes. As organizações nunca devem atribuir direitos root ou de administrador a usuários não autorizados. Além disso, o acesso aos componentes técnicos do SAP deve ser restrito a pessoas autorizadas. Isso impede que invasores acessem dados confidenciais usando incorretamente uma conta com um número desnecessariamente grande de computadores. Além disso, uma lista de controle de acesso deve ser usada para excluir completamente usuários não autorizados da operação dos sistemas e servidores SAP.

Introdução de diretrizes de segurança

Configurar a comunicação de rede segura usando uma configuração SAP padrão é a melhor maneira de garantir a segurança dos dados. Em geral, como parte do SAP Security, uma empresa também deve introduzir diretrizes e configurações de segurança que levem em consideração principalmente os fatores humanos: Isso significa, por exemplo, que o comprimento mínimo e a força da senha e o número de tentativas malsucedidas permitidas para um usuário são especificados. A introdução de contas de usuário SAP genéricas também melhora a segurança dos dados: é particularmente importante selar as identidades dos usuários antes da distribuição e atualizá-las regularmente. Algumas empresas renovam suas identidades diariamente ou antes de cada novo login - e assim evitam um vazamento nos dados de acesso, por exemplo, porque os funcionários anotam os dados ou Gerenciador de senhas usar. Além dessas medidas simples, os cursos de treinamento em segurança SAP ou segurança corporativa também são um instrumento extremamente útil para estabelecer uma política de segurança forte e abrangente - que também inclui aspectos como engenharia social e técnicas semelhantes voltadas para o ser humano que podem levar a um risco de segurança.

Sobre David Maul

David Maul é um especialista qualificado em TI de negócios, apaixonado por hardware

Deixe um comentário

Seu endereço de email não será publicado.