Testy bezpieczeństwa SAP

Wymagania biznesowe, konkurencja, redukcja kosztów i  konieczność szybkiego oraz efektywnego podejmowania decyzji biznesowych zmuszają współczesne przedsiębiorstwa i organizacje do optymalizacji oraz centralizacji podejścia do zarządzania przedsiębiorstwem. Powoduje to, że systemy ERP są coraz częściej wykorzystywane w różnego typu przedsiębiorstwach i organizacjach.
Systemy ERP jako zintegrowane systemy wspomagania zarządzania przedsiębiorstwem,  dzięki swojej elastyczności i bogatym funkcjom stanowią znakomitą platformę, pozwalająca na integrowanie kluczowych procesów biznesowych w przedsiębiorstwie. Czyni to system ERP sercem każdej firmy, uczestniczącym w zarządzaniu krytycznymi procesami biznesowymi, poczynając od zamówień, płatności, logistyki, środków trwałych, przez zarządzanie zasobami ludzkimi i zarządzanie produktami, a skończywszy na  planowaniu finansowym. Dzięki integracji systemu ERP z różnymi aplikacjami wspierającymi krytyczne procesy biznesowe, niezbędne informacje potrzebne do podejmowania słusznych decyzji i sprawnej realizacji procesów są dostępne w odpowiednim czasie, dla odpowiednich osób w jednym miejscu.
Z jednej strony systemy ERP ułatwiają i wspomagają zarządzanie przedsiębiorstwem, lecz z drugiej strony przez swoją wielkość, złożoność oraz centralizację danych wprowadzają nowe zagrożenia i ryzyka dla bezpieczeństwa przetwarzanych danych i związanych z nimi procesów biznesowych -  zagrożenia nie istniejące w przeszłości  dla współczesnych przedsiębiorstw. 
System SAP ze względu na swoją elastyczność oraz funkcjonalność stał się najpopularniejszym i największym systemem ERP. W systemie SAP, jak w każdej dużej aplikacji, co roku znajdowane jest wiele nowych podatności. Są to podatności zarówno na poziomie kodu aplikacji jak i koncepcji implementacji i wykorzystania pewnych funkcji SAP.  Do tego należy dodać specyficzne podatności, które powstają podczas implementacji danego środowiska SAP – są to błędy konfiguracyjne, brak konfiguracji określonych elementów systemów wpływające na jego bezpieczeństwo oraz wszelkie błędy związane z kodem wytworzonym dla danej organizacji i z przyjętym podejściem organizacyjnym do zarządzania funkcjonalnością i jego przepływem pomiędzy środowiskami developerskimi, testowymi i produkcyjnymi.
Proponowany przez Comp S.A. program audytu pozwala na identyfikację podatności, zagrożeń i ryzyk nieodłącznie związanych ze złożonością konfiguracji SAP, pomaga wyeliminować bądź znacząco ograniczyć zakres i skalę potencjalnych podatności systemu, a w efekcie zwiększa poziom  bezpieczeństwa całego przedsiębiorstwa.  W przypadku podatności, które nie mogą zostać usunięte z różnych przyczyn,  poziom ryzyka z nimi związany jest minimalizowany przez rekomendowane dodatkowe działania mające na celu monitorowanie wybranych punktów kontrolnych.
Program audytu jest oparty na wypracowanych i sprawdzonych przez nas standardach. Zawiera on obszerne listy punktów kontrolnych,  pogłębioną analizę elementów konfiguracji SAP o krytycznym znaczeniu dla bezpieczeństwa, a efekt prac przedstawia zestaw odpowiednich rekomendacji dla zapewnienia wysokiego poziomu bezpieczeństwa.
W wielu przypadkach SAP działa w złożonej architekturze, w skład której wchodzi infrastruktura sieciowa, systemy operacyjne (w tym mechanizmy wirtualizacji), bazy danych oraz warstwa aplikacyjna SAP. Zwykle też istnieją trzy instancje SAP: środowisko deweloperskie, testowe i produkcyjne; odzwierciedlające proces utrzymania i rozwoju SAP.
Dla tak określonych wymogów obszary audytu środowiska SAP obejmują:

  • System SAP (wszystkie środowiska: deweloperskie, testowe, produkcyjne):
    • Analiza konfiguracji SAP
    • Analiza krytycznych uprawnień
    • Identyfikacja znanych podatności oprogramowania
    • Przegląd kodu ABAP
  • Infrastruktura całego środowiska a w tym:
    • Architektura sieci (routery, przełączniki, firewalle),
    • Serwery (serwery aplikacji oraz serwery baz danych,
    • Systemy operacyjne,
    • Bazy danych,