SAP Security: tra desiderio e realtà
Recentemente, il SAP User Group e.V. (DSAG) di lingua tedesca ha nuovamente intervistato un gruppo selezionato di membri, tra cui aziende svizzere, sul tema della sicurezza SAP. L'indagine, suddivisa in una parte generale e in una specifica per argomento, ha portato, tra l'altro, alla constatazione che: Security by default, security by design e strumenti di gestione della sicurezza sono urgentemente necessari e SAP deve dare un contributo decisivo in tal senso.
Secondo l'analisi delle tendenze del DSAG, la disponibilità a investire ulteriormente nella sicurezza dei sistemi SAP è diminuita del 13%, passando al 42% rispetto all'anno precedente. Inoltre, in tutte le dimensioni delle aziende prevale l'opinione che le soluzioni cloud richiedano strategie e concetti di sicurezza diversi rispetto alle soluzioni tradizionali. Un argomento su cui concordano il 91% delle grandi aziende e l'88% delle piccole. "Chiediamo anche la sicurezza per progettazione e la sicurezza per impostazione predefinita per l'ambiente cloud. Il gruppo di lavoro DSAG sulla sicurezza del cloud sta affrontando questo problema", commenta il dottor Alexander Ziesemer, portavoce del gruppo di lavoro DSAG sulla sicurezza e la gestione delle vulnerabilità.
Richiesto il cruscotto di sicurezza
Solo l'11% (anno precedente: 15%) ottiene una panoramica delle impostazioni specifiche di sicurezza con l'aiuto di una dashboard di sicurezza. Il 76% non ne fa uso (anno precedente: 72%). Un dashboard adeguato è il prerequisito centrale per poter sviluppare e implementare concetti di sicurezza imperativi e migliori. "Già l'anno scorso abbiamo comunicato a SAP l'esigenza di uno standard per un cruscotto di sicurezza SAP completo. Purtroppo non esiste ancora una soluzione", riassume il dottor Alexander Ziesemer.
C'è ancora un divario di diversi punti percentuali tra i desideri e la realtà in termini di soddisfazione per il supporto fornito da SAP in materia di sicurezza del sistema. Solo il 4% degli intervistati ha dato un voto pari a 1 (grado 6 in Svizzera) e il 18% un voto pari a 2 (grado 5 in Svizzera). Il 49% ha assegnato un punteggio di 3 (in Svizzera un punteggio di 4). Valori che sono peggiorati rispetto al 2018. "Questa è una chiara indicazione della necessità di un supporto ancora migliore da parte di SAP, sotto forma di white paper regolarmente aggiornati, raccomandazioni per l'azione e guide sulla sicurezza", afferma il Dr. Alexander Ziesemer, spiegando il risultato.
Secondo il sondaggio, questi vengono utilizzati per le linee guida interne dell'azienda in materia di sicurezza SAP (72%), come orientamento durante le operazioni (64%) e come ausilio all'argomentazione nei confronti della direzione e dei reparti specializzati (48%).
Sicurezza richiesta per impostazione predefinita
Nella parte tecnica del sondaggio, uno degli argomenti trattati è stata la richiesta di sicurezza di default. In altre parole, i componenti di sicurezza delle nuove versioni e dei servizi dovrebbero essere forniti già attivati di default. Mentre il 78% degli intervistati lo ha affermato nel 2018, l'84% si aspetta questo "servizio" da SAP un anno dopo. "La stretta collaborazione con SAP dimostra che una maggiore sicurezza di default è possibile anche in futuro. Sono già stati compiuti progressi significativi in punti concreti come la crittografia, la registrazione e il monitoraggio", afferma il dottor Alexander Ziesemer.
La sicurezza nel settore on-premise rimane importante
Le grandi aziende (45%) e le medie imprese (41%) considerano l'integrazione dei prodotti cloud SAP in un concetto di sicurezza corrispondente una sfida molto grande. Solo il 35% delle piccole imprese condivide questa impressione. È interessante notare, tuttavia, che il tema del cloud non è entrato nella top 3 dei campi d'azione più importanti. Come l'anno scorso, la sicurezza per impostazione predefinita è al primo posto, seguita dalle linee guida di sicurezza SAP. La gestione delle patch ha conquistato il terzo posto, scalzando la consapevolezza della sicurezza di SAP. "Per le aziende, l'attenzione continuerà a concentrarsi sui problemi di sicurezza nell'area on-premise, oltre che sulla sicurezza del cloud. Perché non tutto ciò che luccica è nuvola", riassume il dottor Alexander Ziesemer.
Conclusione dell'indagine
Il risultato principale dell'indagine sulle tendenze è che una maggiore sicurezza di progettazione e di default è ancora una richiesta importante. I migliori concetti di sicurezza, soprattutto nell'ambiente cloud, sono imperativi, ma sono ancora difficili da implementare senza una dashboard adeguata. Ciò significa: nell'ambito della sicurezza SAP, sono necessari più standard e un supporto ancora migliore da parte di SAP. Il DSAG sta già lavorando con SAP su questo tema.
Tuttavia, il dottor Alexander Ziesemer trae dai risultati anche raccomandazioni concrete per le aziende utenti: "Ottenete trasparenza sulla sicurezza e sul panorama dei vostri sistemi SAP per pianificare ulteriori attività. Iniziate dalle basi della sicurezza, come le interfacce, la crittografia e le impostazioni". La chiave, ha detto, è portare la consapevolezza della sicurezza informatica a tutti i livelli, dai dipendenti ai dirigenti e ai manager. Inoltre, data l'elevata velocità dell'innovazione, è importante aggiornare regolarmente le linee guida di sicurezza SAP. Inoltre, i nuovi sistemi SAP devono essere installati con le impostazioni di sicurezza essenziali attuali (sicurezza di default). Senza dimenticare i sistemi in outsourcing, ad esempio nel cloud, che devono essere collegati in modo sicuro alla rete aziendale.
Fonte: www.dsag-ev.ch
