SAP: 'Goede voorbereiding haalt voor klanten veel securityzorgen weg'

Bedrijven kunnen een hoop securityproblemen vroegtijdig afdekken. Vooral wanneer zij een gedeelde verantwoordelijkheid voor security met hun leveranciers hebben, vindt Enterprise Security Director & Data Protection en Privacy Coördinator Jeroen Kroon van SAP Nederland.

SAP is geen standaard securityspecialist of aanbieder van alleen securityoplossingen en toepassingen, toch heeft SAP enkele securityproducten op het gebied van Identity Management en Threat Detection (ETD). Wel moet de ERP- en cloudgigant er voor zorgen dat zijn hele on-premises- en cloudportfolio aan de allerhoogste veiligheids-, privacy- en compliance-eisen voldoet.

“Klanten gaan versneld van on-premises naar de cloud over”, stelt Enterprise Security Director & Data Protection en Privacy Coördinator Jeroen Kroon van SAP Nederland. Kroon, sinds drie maanden in dienst van SAP Nederland, is al meer dan 20 jaar actief op het gebied van security. Zowel aan klantzijde als bij diverse leveranciers. Daarnaast is hij actief bij verschillende securitystandaardiseringsorganisaties en geeft les aan twee universiteiten.

“Deze overstap brengt helaas veel bedreigingen met zich mee en niet alle bedrijven hebben dat door. Wanneer zij naar de cloud overstappen, verwachten zij dat ook de hele security, die zij eerder on-premises hadden, in de nieuwe cloudomgeving is geregeld. Dat is niet helemaal waar. Veel verantwoordelijkheden liggen nog steeds bij de klanten zelf en dat maakt de overstap voor security juist complex.”

“Denk aan de uitdagingen voor (persoonlijke) data en zaken rondom toegang tot cloudgebaseerde diensten en/of applicatieplatforms. Daarnaast moeten bedrijven aan de koppelingen denken die zij tussen hun (nieuwe) cloudomgeving en bestaande systemen maken. Dit brengt ook risico’s, zoals voor de bestaande Identity- en Access Management (IAM)-toegangssystemen”, volgens Jeroen Kroon.

Gedeelde verantwoordelijkheid
SAP gaat bij het leveren van zijn on-premises- en cloudgebaseerde diensten uit van een gedeelde securityverantwoordelijkheid. “De hele security voor bijvoorbeeld het genoemde IAM-beheer en ook alle data die zij in onze applicaties en platforms stoppen, blijft de verantwoordelijkheid van onze klanten. Dit geldt natuurlijk ook voor hun data. SAP is alleen verantwoordelijk voor de veiligheid van de applicaties, data en platforms zelf.”

Binnen deze gedeelde verantwoordelijkheid geldt dat klanten hun ‘security posture’ goed moeten inregelen, vindt Jeroen Kroon. “Eén van de belangrijke maatregelen is een duidelijke analyse van hun huidige securitymaatregelen en wat de gewenste securityeisen zijn in de nieuwe (cloudgebaseerde) situatie.

“Daarnaast moeten bedrijven er rekening mee houden dat er, ondanks de overstap naar de cloud, on-premises-omgevingen en ook interne werkplekken nog vaak aanwezig zijn. De securitymaatregelen voor beide omgevingen moeten wel met elkaar samenwerken om risico’s te voorkomen.”

“Waar het vaak misgaat, is dat de verschillende securitymaatregelen voor beide omgevingen niet goed op elkaar zijn afgestemd. Bijvoorbeeld het wachtwoordbeleid. Voor cloudomgevingen doen bedrijven graag iets nieuws, zoals lange wachtwoorden en multi-factorauthenticatie, zodat medewerkers altijd via twee manieren inloggen. De on-premises-systemen hebben deze authenticatie niet en dan kunnen medewerkers met korte wachtwoorden inloggen. Voor cybercriminelen zijn deze laatste omgevingen dan een goede kans binnen te dringen en zo ook in de cloudomgeving te komen.”

“Verder moeten bedrijven hun securitybeleid goed bijhouden. Ook regelmatig testen van back-ups is handig. In het geval van ransomware-aanvallen is dit erg belangrijk. Ransomware nestelt zich vaak lang van tevoren in systemen. Dit kan ook back-ups compromitteren.

Wat doet SAP zelf?
De ERP- en cloudgigant neemt natuurlijk ook zelf verantwoordelijkheid “Onze applicatie- en platformproposities worden natuurlijk niet alleen door ons zelf ontworpen, ontwikkeld en uitgerold, maar ook met meer dan 14.000 grote en kleine partners wereldwijd. We willen dat klanten die applicaties en platforms natuurlijk wel veilig kunnen gebruiken.”

De diverse securitymaatregelen die SAP zelf neemt, zijn op een drietal terreinen. “Ten eerste willen we onze producten natuurlijk zo veilig mogelijk maken. Al onze oplossingen en platforms worden via een extern gecontroleerde ‘secure lifecycle’ ontwikkeld. ‘Threat modelling’ wordt hiervoor als een consistente methodiek gebruikt. Bij iedere update wordt ook weer alles ‘door de molen gehaald.’ Dit om te voorkomen dat malware of backdoors onze producten binnendringen. We zijn erg trots op ons ‘security by design’ -beleid”, geeft Kroon aan.

“Daarnaast monitoren wij wereldwijd al onze SaaS-omgevingen. Dit gebeurt in ons wereldwijde Security Operations Center (SOC). Daar komen tegenwoordig wel meer dan 250.000 events per seconde binnen.”

“Als laatste tonen we dat alle producten aan de juiste securityeisen voldoen. Dit op basis van audits van derde partijen. Alle informatie maken wij openbaar in de SAP Trust Center-omgeving. Het komt er eigenlijk op neer dat wij de klant kunnen ontzorgen op het gebied van security. Vele zaken zijn dus al inbegrepen in onze dienstverlening en die van onze partners.”

Rol van partners
Jeroen Kroon vindt dat er ook partners een rol hebben. “We betrekken onze partners sterk bij het uitvoeren van ons securitybeleid. Onder meer met preventief informeren over bedreigingen via verschillende kanalen, maar ook door hen mee te nemen in de ontwikkelingen en verbeteringen die wij in onze producten doorvoeren. Verder gaan we ook graag samen met onze partners bij klanten langs om hen uit te leggen hoe wij op securitygebied bepaalde zaken implementeren.”

“We bieden onze partners ook de mogelijkheid hun klanten de securitymonitoring uit ons eigen wereldwijde SOC voor securitymonitoring als SaaS-oplossing te bieden; Enterprise Threat Detection. Deze dienst geeft gedetailleerd inzicht in alle SAP-applicaties en -platforms en ook de “use cases”. Hiermee krijgen zij dan meer securityinzicht, zoals voor “user behavior” en andere geavanceerde risico’s, die niet standaard in securitymonitoringsoplossingen zitten.”

Uitbannen van misconfiguraties
De security-en privacy specialist van de ERP- en cloudgigant heeft nog een belangrijke tip voor klanten en partners die hun securityrisico’s willen verlagen. “Zij moeten meer aandacht geven aan misconfiguraties. Denk daarbij aan de standaard geconfigureerde instellingen of gebruikersdefinities. Daar zitten vaak de belangrijkste risico’s.”

“Let vooral op dat bij het in productie brengen van omgevingen met gevoelige data de configuratie van onder andere gebruikersidentiteiten en wachtwoordinstellingen in orde zijn. Dus alles wat de verantwoordelijkheid van klanten (en/of partners) is. Kwetsbaarheden zitten vaak niet in de producten, maar in de uiteindelijke implementatie, het dagelijks gebruik en processen”, besluit Jeroen Kroon.

Auteur: Floris Hulshoff Pol