OS RISCOS EMBUTIDOS NAS CUSTOMIZAÇÕES SAP ABAP
Empresas usuárias dos ERPs SAP constantemente desenvolvem novos códigos na linguagem de programação SAP ABAP (Advanced Business Application Programming) para adequar e/ou criar funcionalidades específicas as suas necessidades de negócios e processos. Com isso podem acidentalmente ou intencionalmente introduzir brechas de segurança expondo e tornando vulneráveis ambientes SAP a ataques hackers.
Se você não souber as respostas as dúvidas abaixo, então provavelmente está no grupo riscos de empresas que possuem desenvolvimentos ABAP customizados “conhecidos como programa Z” e que estão expostos e vulneráveis a brechas de segurança.
-
-
- Você sabe quantos desenvolvimentos ABAPs foram criados para sua organização, a finalidade de cada desenvolvimento e se todos estão de fato sendo utilizados em produção pelos usuários de negócios?
- Sua empresa possui política desenvolvimento ABAP que incorpora as práticas de segurança e riscos para mitigar as vulnerabilidades e brechas mais conhecidas?
- Seu time de desenvolvedores ou empresa contratada para desenvolvimentos segue as práticas de segurança e riscos adotado na política de desenvolvimento da sua empresa?
- Sua empresa possui o mapeamento e controle das customizações que expõe o seu negócio ao risco (incluindo a identificação das principais vulnerabilidades mapeadas e procedimentos de redução dos riscos identificados)?
- Seus códigos customizados possuem restrições mínimas e necessárias para conformidade com a Lei LGPD?
-
Um código ABAP bem desenvolvido deve incorporar mecanismos que possam evitar vulnerabilidades e brechas de segurança tais como SQL INJECTION, ABAP CODE INJECTION, ABAP COMMAND INJECTION, HARD CODED USER AND PASSWORD, SOD RISK RELEVANCE, SAP NON-COMPLIANCE ABAP CODING, SENSITIVE DATA ACCESS (conformidade com a lei LGPD) etc.
Toda empresa deveria possuir política de desenvolvimento ABAP que incorpore as práticas de segurança e riscos, e essa política deveria fazer parte do processo interno de desenvolvimento e do processo de contratação e qualificação de empresas terceiras contratadas para atuar em desenvolvimentos ABAP.
Para mitigar os riscos mencionados acima, você deve:
-
-
- Primeiramente realizar o inventário das customizações e suas vulnerabilidades.
- Posteriormente determinar as correções imediatas como por exemplos adicionando os programas e consequentemente as transações customizadas considerados críticos a sua matriz de Riscos de segregação SoDs (Segregation of duties).
- Você também pode fazer uso da solução SAP ABAP Test Cockpit (SAP ATC) para automatizar o processo de verificação e aprovação de código durante a liberação “transport” para o ambiente de homologação.
-
O SAP ATC está embarcado na plataforma SAP Netweaver e certamente você já possui licença para utilizá-lo sem custo adicional.
Caso necessite obter maiores informações sobre serviços de inventário e análise de segurança riscos de customizações ABAP e como fazer uso da ferramenta SAP ATC (fluxo de aprovação com interface Fiori), agende uma visita conosco!
Exemplo da solução SAP ATC com interface FIORI (exclusividade TrustSis)
