Vanaf de begindagen als payroll- en accounting-platform tot de softwaregigant die ze nu zijn, kun je rustig stellen dat SAP vele bedrijven heeft gevormd. Oplossingen als NetWeaver en het HANA dataplatform vormen de basis van volledige bedrijfsprocessen. Een onderbreking in SAP is vrijwel direct een onderbreking in de bedrijfsvoering.
Dit is ook de reden voor het ontstaan van SAP Competency Centers in veel bedrijven. Ze fungeren als geïntegreerd service-delivery centrum voor de business, een status die nodig is omdat vrijwel alle software die met SAP communiceert, gecertificeerd moet zijn. De Competency Centers zijn dus datacenters in een datacenter, waarin zelfs de hardware SAP-specifiek kan zijn en anders dan de rest van de infrastructuur.
Het gevolg hiervan is dat alle hardware, databases, tools en software-uitbreidingen van andere leveranciers die linken naar SAP in een eigen wereld leven met een eigen taal. Alles is geïntegreerd voor de beste gebruikerservaring. In de it hebben we het vaak over het beschermen van de kroonjuwelen, maar in een SAP-omgeving is het eerder kroonjuweel enkelvoud. De bescherming van SAP is key; niet voor niks heeft de handleiding ervoor honderden pagina’s. Toch zit er een zwak punt in deze aanpak.
Een wereld op zich?
Hoewel SAP een eigen wereld is, staat het niet los van de buitenwereld. Zodra iets buiten de omgeving komt, heeft SAP er geen omkijken meer naar. SAP zelf kan wel veilig zijn, maar alle verbonden software en apparatuur hoeft dat niet te zijn en dat vormt een risico voor de hele omgeving. Namelijk het risico op ongeoorloofde toegang.
Als iemand ongeautoriseerd rechten krijgt voor een verbonden systeem, is de stap naar een – op het oog – geoorloofde rol binnen SAP vrij klein. Iemand met privileges kan zich nu eenmaal makkelijker manoeuvreren door een it-omgeving. Steeds weer een stapje verder en/of hoger. Zelfs rollen met veel privileges als SAP-ALL liggen dan binnen handbereik. De gevolgen lopen uiteen van gegevensdiefstal, beïnvloeden van productielijnen en veranderingen in orders. Toegangsbeheer moet dus verder gaan dan alleen de SAP-omgeving.
Het is nodig om niet alleen de wereld van SAP te beveiligen, want de gevaren komen vooral ook van buitenaf. Alle toegang met privileges naar SAP en de bijbehorende infrastructuur (met name besturingssysteem en database) moet worden beveiligd door gebruikers met hogere rechten te monitoren en de privileged accounts te beheren, beschermen en te controleren. Op die manier wordt het risico op misbruik van gebruikersrechten geminimaliseerd.
