Beheer

Security
proces ontwerp

10 vragen die een SAP-beheerder zich moet stellen

Een checklist om de beveiliging van SAP-systemen te verbeteren.

© Shutterstock
28 oktober 2016

Een checklist om de beveiliging van SAP-systemen te verbeteren.

De beveiliging van SAP-systemen blijft een heikel punt. De ERP-software bevat zeer veel lekken en er zijn weinig tot geen specialistische beveiligingsoplossingen. Bovendien is er weinig duidelijkheid rond processen en verantwoordelijkheden als het om SAP-beveiliging gaat.

 

Zeer vaak ontbreken een overzicht van de kwetsbaarheden in de beveiliging, effectieve communicatie en een beveiligingsstrategie. SAP-beveiliger Onapsis stelde daarom een checklist op voor de SAP-beveiliging, waarmee beheerders een begin kunnen maken orde op zaken te stellen.  De lijst kan overigens ook voor andere ERP-systemen gebruikt worden, want ook die kampen met dezelfde problemen.

1. Hebben de verantwoordelijke medewerkers zicht op alle bedrijfskritische applicaties en de SAP-infrastructuur. Kennen ze het specifieke belang van SAP-systemen voor de bedrijfsvoering?

2. Gebruikt de organisatie bedrijfskritische SAP-applicaties die via het internet toegankelijk zijn en/of voor partners of aannemers in het buitenland toegankelijk zijn?

3. Hoe vaak zijn er besprekingen met het ERP-beveiligingsteam en aan wie moet dit team rekenschap afleggen?

4. Is het ERP-beveiligingsteam op de hoogte van de huidige kwetsbaarheden, malware en hackerstechnieken die speciaal verband houden met SAP-systemen, en hoe worden deze gedocumenteerd? Wat gebeurt er als een aanvaller misbruik maakt van een kwetsbaarheid die al jarenlang publiek bekend is?

5. Welke personen binnen de organisatie zijn verantwoordelijk voor inbreuken op de beveiliging die verband houden met ERP-platforms?

6. Wordt er een programma gehanteerd dat voorziet in beveiligings- en compliance-audits en de evaluatie van de beveiliging van SAP-systemen? Zo ja, welke technieken of diensten worden daarvoor gebruikt?

7. Binnen welk tijdsbestek worden beveiligingsupdates voor SAP-applicaties geïnstalleerd? Wie bepaalt welke patches worden toegepast en met welke prioriteit? Zijn deze patch-processen gedocumenteerd?

8. Weten de verantwoordelijke medewerkers of hun SAP-systemen in het verleden door aanvallen zijn getroffen? Zo ja, welke logging-bronnen of forensische oplossingen zetten ze dan in voor het detecteren van schadelijke activiteiten?

9. Worden SAP-systemen bewaakt op aanvallen op applicaties en afwijkende gebruikspatronen? En zo ja, hoe?

10. Beschikt de organisatie over een gedocumenteerd plan hoe ze moet omgaan met een verhoogde kans op een aanval op bedrijfskritische applicaties?

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.