Raptem kilka miesięcy dzieli nas od wejścia w życie nowego rozporządzenia o ochronie danych osobowych. Do 25-ego maja musimy zdążyć dopasować się do nowych wymogów. Już dziś wiele firm wdraża systemy do monitoringu i audytu uprawnień na domenie oraz serwerach, instaluje systemy do wykrywania incydentów, szyfruje dane osobowe już zebrane, przegląda zgody na przetwarzanie, tworzy procedury… Jest w tym wszystkim jednak jedna rzecz, o której można zapomnieć, bo rzadko jest przytaczana jako przykład podczas dyskusji o RODO. Jest to audyt i zabezpieczenie SAPa.

A przecież SAP również przechowuje dane osobowe. W zależności od posiadanych i wdrożonych modułów są to dane pracowników i/lub dane klientów. Tym samym, SAP jak najbardziej podlega wymogom nowego rozporządzenia. Co w takim razie można zrobić z SAPem, żeby nie okazał on się naszą piętą achillesową podczas najbliższego audytu?

Audyt i poprawna konfiguracja uprawnień

Dobrze jest od audytu uprawnień. Na początek sprawdź, gdzie dokładnie w SAPie przechowujesz dane osobowe. Dowiedz się kto może mieć dostęp do tych obszarów, oraz jak dokładnie zbudowane są role i na co szczegółowo pozwalają. Możliwe, że przeprowadzając audyt znajdziesz zaszłości takie jak role z czasów budowania systemu, role nigdy nie użyte lub od lat nie wykorzystywane, albo nazwy użytkowników zaszyte w kodzie aplikacji.

Pamiętaj, że RODO wymaga tego, by dostęp do danych osobowych był przyznany tylko i wyłącznie osobom do tego uprawnionym. Jeśli więc odkryjesz w swojej konfiguracji elementy niezgodne z wytycznymi, powinieneś niezwłocznie nanieść poprawki.

Wyeliminowanie podatności

Odpowiednia konfiguracja dostępów to nie wszystko. Luki w systemach zabezpieczeń pozwalają na łatwą zmianę roli czy podniesienie uprawnień. W niepowołanych rękach i na systemie od dawna nie łatanym, konto zwykłego użytkownika może przekształcić się w konto użytkownika z dostępem uprzywilejowanym.

Kolejnym więc krokiem jest audyt instancji SAPa pod kątem podatności, które po odszukaniu w systemie musimy następnie zpriorytetyzować i odpowiednio załatać. Priorytetyzacja powinna być uzależniona nie tylko od krytyczności jej nadanej, ale też od ryzyka jakie stanowi dla organizacji.

Jednak na tym nie kończy się praca nad bezpieczeństwem systemu. Wraz z jego rozwojem, będą pojawiały się nowe podatności, nowe uprawnienia i role, a także nowe obszary danych. Z tym też jesteśmy zobowiązani sobie poradzić.

Monitorowanie bezpieczeństwa systemu

Idealnym rozwiązaniem jest więc regularne audytowanie systemu, oraz audyt przy okazji każdej zmiany wprowadzanej do niego (jak zmiany w kodzie ABAP, dodanie nowych modułów, wprowadzanie nowych konfiguracji, tworzenie nowych ról…).

Regularny audyt pozwoli nam też na aktualizowanie naszej wiedzy na temat podatności, które musimy załatać. Brak rozeznania w lukach naszego systemu nie będzie stanowiło okoliczności łagodzącej w przypadku incydentu i audytu GIODO, a wręcz przeciwnie. Za to starania mające na celu utrzymanie systemu na odpowiednim poziomie zabezpieczeń już zdecydowanie będą traktowane na plus.

Na szczęście nie trzeba wykonywać wszystkich tych czynności ręcznie. Systemy do audytu SAPa, a zwłaszcza ERPScan mogą nas w dużej mierze z nich wyręczyć, pozostawiając nam już tylko czynności administracyjne i konfiguracyjne. Audyt SoD (Separation of Duties), Vulnerability Management, czy audyt kodu ABAP – to wszystko możemy zostawić aplikacji, która nie tylko przeskanuje nasze instancje SAPa, wskaże konkretne linie kodu, w których znajdują się błędy, ale też podpowie nam jak konfiguracja powinna wyglądać poprawnie, oraz nakieruje na odpowiednie łatki czy notki, które powinniśmy zaimplementować.

Możesz wykonać jednorazowy skan swojej instancji lub zaharmonogrmować regularne audyty. Nie musisz też się obawiać, że wiedza Twoich administratorów może nie być wystarczająca, lub że brakuje Ci dokumentacji na temat historycznych ustawień systemu. ERPScan sam wskaże Ci całą dokumentację z jakiej potrzebujesz skorzystać, by zabezpieczyć swój system.

Jeśli posiadasz w swojej organizacji system SAP i jesteś zainteresowany jego przygotowaniem na wejście w życie RODO, zapoznaj się z naszą ofertą dotyczącą tego narzędzia, a najlepiej skontaktuj się z nami bezpośrednio. Zostały już raptem cztery miesiące, a to naprawdę niewiele czasu.