VNSG Magazine Maart 2016 - page 23

Magazine mrt/16
23
We willen wel dat het meer bekend is dat mensen hierover kunnen be-
schikken.” Uit de reacties van de andere deelnemers blijkt dat de mees-
ten niet op de hoogte zijn van de baseline-documenten. “Wij hebben
zoveel documenten”, reageert Özdurmus. “En het was inderdaad lastig
te vinden, maar nu staat het in de knowledge base van SAP. Het is een
helder en overzichtelijk document; dus ik kan het iedereen aanraden.”
Security Patching
Veel SAP gebruikers worstelen met het invoeren van SAP security pat-
ches. SAP zoumoeten aangeven hoe belangrijk de herstelsoftware is die
zij aanbiedt. En welke risico’s zijn er als je een bepaalde patch uitstelt. Ze
willen graag dat SAP helpt prioriteiten op te stellen.
Dit brengt een verhitte discussie op gang over het vele werk dat pat-
ching met zich mee brengt. Want dit gebeurt naast het eveneens inten-
sieve werk om gewoon alle release-updates in goede banen te leiden.
Er komt een vloedgolf aan patches over de IT-afdeling heen. Niet alleen
voor SAP-systemen, maar evenzeer voor alle andere geautomatiseerde
systemen. En dat is natuurlijk nogmaar het begin, want elke patchmoet
worden getest alvorens deze in de productie-omgeving toe te passen.
Een van de deelnemers hemelt Microsoft op dat patches en updates ge-
automatiseerd laat verlopen. “Dat zou ik bij SAP ook graag zien, want
automatisering van de IT houdt de boel betaalbaar.”
Özdurmus vindt de vergelijking met Microsoft niet helemaal eerlijk.
“Dan gaat het om standaardsoftware. Maar onze gebruikers hebben
soms veel maatwerk. Dat kunnen wij vanuit Walldorf onmogelijk geau-
tomatiseerd bedienen.”
Omdat het zoveel werk is – en blijft, gezien het maatwerk – willen de
VNSG-leden meer informatie van SAP over het patch-werk. “Wat moet
je testen, en hoe? Wat is de impact van een SAP-patch op andere sys-
temen? Er is wel tooling beschikbaar van SAP, maar de meesten weten
die nog niet goed te vinden. Dat zou SAP ook wat helderder naar voren
moeten brengen. SAP doet echt veel aan security, maar zou dat beter
moeten presenteren”, aldus Wind.
Security testen
Een van de sprekers werkt als ethisch hacker bij een grote organisatie.
Zijn teamspoort klokje rond naar kwetsbaarheden. Hij vindt dat het tes-
ten van de security een integraal onderdeel moet zijn van elk SAP-pro-
ject binnen een organisatie. Waarbij SAP niet los kan worden gezien van
andere geautomatiseerde systemen, die bovendien steeds meer met
elkaar verknoopt raken. Zo bracht iemand naar voren dat een bedrijf de
klimaatregeling van het gebouw op een server had staan die verbonden
wasmet het bedrijfsnetwerk. Niemand had eraan gedacht omdie server
te beveiligen. Uiteindelijk zijn hackers erin geslaagd om via deze server
vitale systemen binnen te dringen.
“Die verwevenheid van
systemen moet duidelijk
zijn binnen een organisatie
en risico’s moeten in kaart
gebracht worden”, geeft Wind
de discussie weer.
Managed Security Services
Wie het allemaal te veel wordt, kan sinds kort terecht bij SAP Managed
Security Services. Özdurmus: “Wehebbendie vorig jaar december gelan-
ceerd. We zijn nog in gesprek met een aantal klanten over de verfijning
van deze diensten. Het komt erop neer dat SAP alle beveiligings-aspec-
ten uitvoert in opdracht van de klant. Het kan ze veel geld schelen, want
het is echt kostbaar omeen goed beveiligingsteam samen te stellen.”
Tevens heeft SAP Enterprise Threat Detection geïntroduceerd. Met be-
hulp van agents in de aangesloten systemen wordt een grote hoeveel-
heid log files geanalyseerd omde beveiliging temonitoren en door mid-
del van patronen kwetsbaarheden op te sporen.
Ümit Özdurmus is na afloop blij dat hij heeft deelgenomen. Hij neemt de
opmerkingen ter harte en gaat ze bespreken in zijn SAP-team.
Meer weten over de focusgroep
Security & Access Management?
Ga dan naar
1...,13,14,15,16,17,18,19,20,21,22 24,25,26,27,28,29,30,31,32
Powered by FlippingBook