Empresas usuárias dos ERPs SAP constantemente desenvolvem novos códigos na linguagem de programação SAP ABAP (Advanced Business Application Programming) para adequar e/ou criar funcionalidades específicas às suas necessidades de negócios e processos. Com isso, podem acidentalmente ou intencionalmente introduzir brechas de segurança expondo e tornando vulneráveis ambientes SAP a ataques hackers.
Se você não souber as respostas às dúvidas abaixo, então você provavelmente está no grupo riscos de empresas que possuem desenvolvimentos ABAP customizados “conhecidos como programa Z” e que estão expostos e vulneráveis a brechas de segurança.
- Você sabe quantos desenvolvimentos ABAPs foram criados para sua organização, a finalidade de cada desenvolvimento e se todos estão de fato sendo utilizados em produção pelos usuários de negócios?
- Sua empresa possui política desenvolvimento ABAP que incorpora as práticas de segurança e riscos para mitigar as vulnerabilidades e brechas mais conhecidas?
- Seu time de desenvolvedores ou empresa contratada para desenvolvimentos ABAP segue as práticas de segurança e riscos adotado na política de desenvolvimento da sua empresa?
- Sua empresa possui o mapeamento e controle das customizações que expõe o seu negócio ao risco (incluindo a identificação das principais vulnerabilidades mapeadas e procedimentos de redução dos riscos identificados)?
- Seus códigos customizados possuem restrições mínimas e necessárias para conformidade com a Lei LGPD?
Um código ABAP bem desenvolvido deve incorporar mecanismos que possam evitar vulnerabilidades e brechas de segurança tais como SQL INJECTION, ABAP CODE INJECTION, ABAP COMMAND INJECTION, HARD CODED USER AND PASSWORD, SOD RISK RELEVANCE, SAP NON-COMPLIANCE ABAP CODING, SENSITIVE DATA ACCESS (conformidade com a lei LGPD) etc.
Toda empresa deveria possuir política de desenvolvimento ABAP que incorpore as práticas de segurança e riscos, e essa política deveria fazer parte do processo interno de desenvolvimento e do processo de contratação e qualificação de empresas terceiras contratadas para atuar em desenvolvimentos ABAP.
Para mitigar os riscos mencionados acima, você deve primeiramente realizar o inventário das customizações ABAP e suas vulnerabilidades. Posteriormente determinar as correções imediatas, como por exemplo, adicionando os programas e, consequentemente, as transações customizadas consideradas críticas a sua matriz de Riscos de segregação SoDs (Segregation of duties). Você também pode fazer uso da solução SAP ABAP Test Cockpit (SAP ATC) para automatizar o processo de verificação e aprovação de código durante a liberação “transport” para o ambiente de homologação. O SAP ATC está embarcado na plataforma SAP Netweaver e certamente você já possui licença para utilizá-lo sem custo adicional.
Exemplo da solução SAP ATC com interface FIORI (exclusividade TrustSis)
Caso necessite obter maiores informações sobre serviços de inventário e análise de segurança riscos de customizações e como fazer uso da ferramenta SAP ATC (fluxo de aprovação com interface Fiori), agende uma conversa conosco!
