Jak się do niego przygotować z SAST i jakie przynosi korzyści dla organizacji?

Każda myśl dotycząca zwiększenia bezpieczeństwa w organizacji, która przybiera formę planu lub chociażby dyskusji jest godna uwagi.

Jak jednak przekuć myśl oraz planowanie w konkretne działanie przynoszące korzyść przedsiębiorstwu?

Dzięki narzędziu SAST wykrycie potencjalnych nieprawidłowości oraz zagrożeń jest łatwe, szybkie
i wyczerpujące.

 

Zakres

W naszej pracy realizujemy audyty bezpieczeństwa systemów SAP w oparciu o najlepsze praktyki dotyczące projektów bezpieczeństwa SAP dla systemów SAP w odniesieniu do ISO 27001. Podczas audytu sprawdzane i analizowane są wszystkie istotne elementy systemu (stos ABAP, stos Java, system operacyjny, baza danych) oraz ustawienia SAP i autoryzacje użytkownika.
Audyt jest przeprowadzany przy użyciu certyfikowanego przez SAP narzędzia bezpieczeństwa SAST.

Zakres badania obejmuje ponad 3.000 kontroli dotyczących następujących obszarów

  • Kontrola dostępu do systemu
  • Badanie bezpieczeństwa na poziomie systemu operacyjnego i bazy danych
  • Sprawdzenie standardowych użytkowników i haseł
  • Kontrola parametrów i ustawień SAP
  • Badanie konfiguracji internetowej i ustawień kryptograficznych
  • Ocena krytycznych autoryzacji systemu SAP na podstawie ustawień domyślnych SAST
  • Weryfikacja autoryzacji SAP w odniesieniu do krytycznych autoryzacji i konfliktów podziału obowiązków

Wszystkie przeprowadzone weryfikacje i ujawnione luki zestawiamy w sprawozdaniu pokontrolnym podlegającym ocenie klienta, a następnie przedstawiamy i wyjaśniamy klientowi podczas warsztatów dotyczących wyników i opracowania planu naprawczego.

 

Etapy

Jak wyglądają poszczególne etapy Audytu Bezpieczeństwa? Ile to wszystko trwa?
Na co musimy się przygotować?

  • Przygotowania do audytu rozpoczynają się stworzeniem koncepcji oraz planu przebiegu weryfikacji na systemie. W tym zakresie działamy wspólnie z klientem, zwracając uwagę na najbardziej krytyczne aspekty bezpieczeństwa w organizacji.
  • Następnie należy przygotować system pod kątem technicznym (import transportów SAST).
    Nasz zespół konfiguruje narzędzie i uruchamia raporty kontrolne.
  • Naszym kolejnym działaniem jest analiza raportów wygenerowanych z badanych systemów.
  • Sporządzenie dokumentacji z wynikami kontrolnymi oraz rekomendacjami zmian również przygotowuje nasz zespół bezpieczeństwa.
  • Omówienie i przedstawienie wyników z klientem. Wspólne tworzenie planu naprawczego zakłada uzgodnienie wyników i zaleceń z działami biorącymi udział w audycie. Istnieje możliwość określenia terminów realizacji rekomendacji i nadzór nad wdrożeniem zmian.

Jeśli chodzi o czasochłonność przeprowadzenia wyżej opisanego audytu, trwa on około dwa tygodnie. Należy jednak wziąć pod uwagę dostępność własnych zasobów wewnętrznych, tak aby
w najbardziej optymalny sposób móc się pochylić nad aspektami związanymi z bezpieczeństwem.

 

Wyniki kontrolne

Wyniki audytu przekazujemy klientowi w formie elektronicznej (Microsoft Word lub Excel).
Dodatkowo przedstawiamy je w siedzibie klienta podczas spotkania podsumowującego w formie prezentacji. Bardzo ważne jest, aby na spotkaniu byli obecni reprezentanci lub opiekunowie procesów poszczególnych działów, których procesy były weryfikowane w ramach audytu.

Sporządzona dokumentacja zawiera następujące informacje:

  • Listę zbadanych komponentów oraz, w razie potrzeby, innych systemów podlegających badaniu,
    w tym okres przeprowadzania kontroli i procedury kontroli
  • Krótki opis wyników kontrolnych (stopień odchylenia od zalecanego scenariusza, zgodnie
    ze specyfiką klienta lub jak podano w najlepszych praktykach)
  • Szczegółowy opis wyników kontrolnych (przyczyny i skutki/ryzyko), w tym wyjaśnienie odchyleń względem klienta, przepisów prawa lub dobrych praktyk
  • Zalecenia dotyczące usunięcia określonych luk (np. zmiany w koncepcji, aktualizacje oprogramowania, dostosowanie konfiguracji).

 

Po Audycie

Po przeprowadzeniu weryfikacji, nasz zespół powołuje osobę kontaktową służącą pomocą
w przypadku jakichkolwiek zapytań. Wsparcie obejmuje okres kilku tygodni od momentu przekazaniu pisemnych wyników kontrolnych.

Jeśli zastanawiasz  się  nad zbadaniem aktualnego stanu systemu SAP pod kątem bezpieczeństwa jednak skala problemów z perspektywy rozmiaru środowiska oraz złożoności procesów wywołuje wątpliwości – proszę dłużej nie zwlekać. Pomożemy, przeprowadzimy audyt i w klarowny sposób przedstawimy wyniki oraz plan naprawczy.

 

autor: Bernadeta Szwarc /Sast Polska Team/

————————————————————————————————-

WARTO PRZECZYTAĆ: