Onapsis: 10 vragen die bedrijven zichzelf moeten stellen over de beveiliging van hun SAP-systemen

26-10-2016 - Boston

De beveiliging van SAP-omgevingen vraagt om transparantie, effectieve communicatie en nauwgezet gedocumenteerde processen.

Boston, 26 oktober 2016 – De beveiliging van SAP-omgevingen laat het niet alleen afweten door de afwezigheid van specialistische beveiligingsoplossingen. Dergelijke technologieën kunnen snel worden ingericht. De experts van Onapsis stellen op basis van gesprekken met klanten telkens opnieuw vast dat een gebrek aan transparantie, communicatie en duidelijkheid rond processen en verantwoordelijkheden de belangrijkste oorzaken zijn van de gebrekkige beveiliging van veel SAP-omgevingen. Onapsis, de wereldwijde expert in de beveiliging van bedrijfskritische applicaties, heeft daarom een korte checklist samengesteld die ICT-besluitvormers helpt met het ontdekken van zwakke schakels in het interne beveiligingsbeleid voor SAP-systemen.

 

Uit de resultaten van een wereldwijde enquête van het Ponemon Institute in februari 2016 uitvoerde, blijkt dat van de 607 medewerkers bij diverse Global 2000-ondernemingen slechts 21 van mening is dat de directie zich bewust is van de beveiligingsrisico’s voor hun SAP-applicaties. Volgens een kwart van de respondenten is er in geval van twijfel geen verantwoordelijke medewerker aanwezig om vragen over de beveiliging van SAP-systemen te beantwoorden. Slechts een op de vier respondenten heeft vertrouwen in het vermogen van hun organisatie om aanvallen direct te detecteren. Bijna een op de twee respondenten (53 procent) denkt dat incidenten binnen één jaar tijd kunnen worden gedetecteerd.

 

ICT-beveiliging vraagt om een transparant overzicht van kwetsbaarheden in de beveiliging, effectieve communicatie en een overkoepelende beveiligingsstrategie. Processen rond de beveiliging van SAP-systemen moeten deel uit maken van deze bedrijfsbrede strategie. ICT-beheerders kunnen de volgende tien vragen hanteren als checklist voor de SAP-beveiliging:

 

  1. Hebben de verantwoordelijke medewerkers zicht op alle bedrijfskritische applicaties en de SAP-infrastructuur, en zijn ze op de hoogte van de specifieke relevantie van SAP-systemen voor de bedrijfsvoering (bijv. de informatie die daarin wordt opgeslagen, de bedrijfskritische processen die ze ondersteunen en het aantal gebruikers van SAP-diensten)?

 

  1. Maakt de organisatie gebruik van bedrijfskritische SAP-applicaties die via het internet toegankelijk zijn en/of voor partners of aannemers in het buitenland toegankelijk zijn?

 

  1. Hoe vaak vinden er besprekingen met het ERP-beveiligingsteam plaats en tegenover wie moet dit team rekenschap afleggen?

 

  1. Is het ERP-beveiligingsteam op de hoogte van de huidige kwetsbaarheden, malware en hackerstechnieken die speciaal verband houden met SAP-systemen, en hoe worden deze gedocumenteerd? Wat gebeurt er als een aanvaller misbruik maakt van een kwetsbaarheid die al jarenlang publiek bekend is?

 

  1. Welke personen binnen de organisatie zijn verantwoordelijk voor inbreuken op de beveiliging die verband houden met ERP-platforms?

 

  1. Wordt er een programma gehanteerd dat voorziet in beveiligings- en compliance-audits en de evaluatie van de beveiliging van SAP-systemen? Zo ja, welke technieken of diensten worden daartoe gebruikt?

 

  1. Binnen welk tijdsbestek worden beveiligingsupdates voor SAP-applicaties geïnstalleerd? Wie bepaalt welke patches worden toegepast, en met welke prioriteit? Zijn deze patch-processen gedocumenteerd?

 

  1. Weten de verantwoordelijke medewerkers of hun SAP-systemen in het verleden door aanvallen zijn getroffen? Zo ja, welke logging-bronnen of forensische oplossingen zetten ze dan in voor het detecteren van schadelijke activiteiten?

 

  1. Worden SAP-systemen bewaakt op aanvallen op applicaties en afwijkende gebruikspatronen? En zo ja, hoe?

 

  1. Beschikt de organisatie over een gedocumenteerd plan voor de omgang met een verhoogde kans op een aanval op bedrijfskritische applicaties?

 

“Deze checklist kan natuurlijk ook worden gebruikt voor andere ERP-systemen dan SAP-oplossingen. Uit onze ervaring blijkt dat bijna elke afzonderlijke SAP-implementatie bij klanten onveilig is. Ook het aantal kwetsbaarheden in ERP-systemen zoals die van Oracle neemt toe. Organisaties zouden in samenwerking met hun cloud-provider de verantwoordelijkheden, de vereiste documentatie en processen moeten definiëren”, aldus Mariano Nunez, de medeoprichter en CEO van Onapsis. “Deze vragen weerspiegelen enkele van de gebreken die we aantreffen bij klanten die eigenlijk alle technische vaardigheden in huis hebben om zorg te dragen voor een effectieve beveiliging van hun SAP-systemen. Het nalopen van deze checklist is belangrijk, omdat complexe ERP-infrastructuren en een tekort aan medewerkers en technologische middelen CEO’s, CISO’s, ICT-besluitvormers en bedrijfsafdelingen voor grote problemen kunnen stellen.”

 

– EINDE –

 

Contact

Robin van Essel

Havana Orange

rel@havanaorange.nl

  1. +31 (0) 6 3802 9218

 

Sieglinde Löffler

Onapsis

sloeffler@onapsis.com

  1. +49 – 89-546161 70

 

Over Onapsis

Onapsis is leverancier van de meest complete beveiligingsoplossing voor de beveiliging van bedrijfskritische SAP- en Oracle-applicaties. Als toonaangevend expert in ICT-beveiliging voor oplossingen van SAP en Oracle voorziet Onapsis teams van beveiligingsprofessionals en auditors van krachtige tools die hen meer overzicht en grip bieden op complexe cyberbedreigingen en compliance-risico’s.

 

Onapsis is gevestigd in Boston en bedient met zijn oplossingen meer dan 200 klanten, waaronder veel Global 2000-klanten: tien handelsondernemingen, twintig energieconcerns en twintig fabrikanten die marktleider in hun branche zijn. De oplossingen van Onapsis vormen de de facto standaard voor advies- en auditbureaus zoals Accenture, IBM, Deloitte, Ernest & Young, KPMG en PwC.

 

Het paradepaard van de oplossingen van Onapsis is het Onapsis Security Platform (OSP). Dit is de meest populaire door SAP gecertificeerde beveiligingsoplossing op de markt. In tegenstelling tot generieke beveiligingsproducten combineert Onapsis contextbewuste en preventieve controlemechanismen voor de detectie van kwetsbaarheden en bewaking van de compliance. Deze worden aangevuld met functionaliteit die het mogelijk maakt om afwijkende gebeurtenissen direct te signaleren en ondervangen. De oplossingen van Onapsis dringen daarmee de gevaren voor bedrijfskritische processen en gegevens terug.

 

Via open interfaces kan het platform worden ingezet in combinatie met SIEM-, GRC- en netwerkbeveiligingssystemen. Dit maakt het mogelijk om bedrijfsapplicaties naadloos te integreren met bestaande programma’s voor het beheer van kwetsbaarheden, beveiligingsrisico’s en incidentrespons.

 

De oplossingen worden ondersteund door Onapsis Research Labs, dat voortdurend informatie levert over bedreigingen voor SAP- en Oracle-applicaties. De experts van Onapsis Research Labs maakten als eerste melding van cyberaanvallen die het op SAP-systemen hadden gemunt en hebben inmiddels al honderden beveiligingslekken geïdentificeerd en bedrijven geholpen om deze te dichten. De kwetsbaarheden hadden onder meer betrekking op implementaties van SAP Business Suite, SAP HANA, SAP Cloud, SAP Mobile, Oracle JD Edwards en Oracle E-Business Suite.

 

Raadpleeg voor meer informatie www.onapsis.com, Twitter, Google+ en LinkedIn.

 

 

Bekijk andere publicaties