SAP Data Loss Prevention, cosa fare?

Che cosa significa Data Loss Prevention?

Significa "mettere in campo" tutte le azioni possibili per evitare fughe non autorizzate di dati.

Fuga di dati e perdita di dati hanno significati molteplici. Ma come è possibile fare in SAP?

Come è possibile prevenire e controllare l'esportazione dei dati da SAP?

Purtroppo, non esiste un unico strumento o una sola configurazione da attivare negli ambienti SAP.

Piuttosto esistono diverse soluzioni che possono essere usate. Alcune di queste già disponibili altre a pagamento.

Diversi sono gli ambiti da gestire e controllare:

• La comunicazione di dati, sotto diversi aspetti. Server to Server oppure Client to Server
• I backup dei dati o eventuali file depositati in transito
• La protezione degli end point o client
• L'esportazione applicativa dei dati da SAP
• L'esportazione dei dati a livello di database

Sono solo alcuni degli esempi sui cui lavorare.

SAP Security Audit Log

Si tratta di una funzionalità già disponibile in SAP ECC o SAP S/4HANA o comunque su tutti i sistemi ABAP based, che permette di tracciare tutta una serie di eventi, tra cui anche l'export dei dati da SAP (nelle ultime release).

Leggi qui come funziona e come configurare il SAP Security Audit Log.

SAP Field Masking

In questo caso, tramite questo add on SAP a pagamento è possibile attivare due principali funzionalità:

• Data Masking o Data Obfuscation ovvero, a livello applicativo, quindi non a livello modifica dei dati nel database i dai vengono resi non leggibili, ad esempio tramite l'uso di asterischi ***
• Data Logging in questo caso è possibile identificare delle transazioni critiche da poter controllare in termini di dati acceduti e da chi

Quanto sopra è possibile farlo per diversi canali (tecnologie) ovvero:

• SAP GUI
• WebDynpro
• RFC/BAPI Web Service
• SAP UI5 FIORI

Leggi qui l'approfondimento sul SAP Field Masking e come funziona l'UI Logging.

SAP HANA Database

Anche i dati a livello di database devono essere controllati, tramite l'utilizzo di SAP HANA, alcuni aspetti relativi alla sicurezza dei dati possono essere più semplici rispetto ad altri database è infatti possibile:

• Fare in modo che tutte le connessioni siano configurate in maniera sicura (utilizzando la crittografia quindi)
• Puoi fare in modo di crittografare i dati presenti nel database e backup
• Puoi attivare degli audit log specifici per controllare cosa accade nel sistema

Approfondisci qui cosa puoi fare da subito per attivare 4 funzionalità security di SAP HANA

SAP RFC, protezione e crittografia delle comunicazioni

Le connessioni verso i sistemi SAP devono essere configurate utilizzando i meccanismi di crittografia per prevenire eventuali intercettazioni di dati.

Su diverse superficie di attacco:

• Client -> Server es. SAP GUI e SAP Application Server
• Server -> Server es. tra Application Server

Devono essere ridotti al minimo i servizi esposti da SAP, in questo caso una funzionalità standard chiamata UCON (Unified Connectivity) può essere di aiuto.

Protezione dell'esportazione dei dati

Esistono diverse modalità per esportare i dati da SAP. Qui puoi trovare quali sono i principali modi per esportare i dati da SAP.

Uno degli aspetti che tuttavia può essere ulteriormente controllato è quello di fare in modo che determinati documenti (es. PLM ma anche altri dati, finanziari e di bilancio) possano essere protetti anche dopo l'esportazione da SAP.

Ovvero rispondere ad esempio alle seguenti domande:

• È possibile avere delle notifiche, ad esempio al SIEM per ogni volta che determinati dati siano stati esportati da SAP
• È possibile fare in modo che i dati esportati da SAP siano inutilizzabili o crittografati, se esportati in maniera non autorizzata?

Quanto sopra può essere fatto tramite una soluzione a pagamento chiamata SAP DAM (Dynamic Authorization Management e SAP Enterprise Digital Rights Management (EDRM) di Nextlabs

Come verificare che tutto sia configurato correttamente in SAP?

Ancora una volta non è sufficiente solamente modificare configurazioni o fare progetti ed azioni di remediation. Serve attivare una procedura di controllo costante dei sistemi e delle configurazioni.

In questo caso possono essere utili due funzionalità disponibili all'interno di SAP Solution Manager chiamate:

• SAP Solution Manager Configurator Validation
• SAP Solution Manager System Recommendations

Inoltre, è possibile sfruttare anche degli ulteriori software a pagamento come ad esempio il SAP Enterprise Threat Detection.

Ti sei già iscritto al nostro canale YouTube?