IT-tietoturvan ja vaatimustenmukaisuuden käyttöönotto hallitusti

Turvallinen käyttö keskittyy SAP-järjestelmien päivittäiseen tietoturvaan. Käyttäjien ja käyttöoikeuksien hallinta on keskeistä, jotta business need only -periaate toteutuu ja liiketoimintadataa käytetään vain tarkoituksenmukaisesti.

Käyttöoikeuskonsepti ohjaa käyttäjien, roolien ja oikeuksien suunnittelua, käyttöönottoa ja jatkuvaa ylläpitoa. Teknologiaan perustuva lähestymistapa tukee tätä kokonaisuutta ja auttaa minimoimaan vaikutukset liiketoimintaan.

Käyttäjien elinkaaren hallinta kattaa koko SAP-ympäristön, ja tehtävien eriyttämiseen liittyviä riskejä seurataan jatkuvasti. Teknologiapohjainen SoD-riskien ja kriittisten käyttöoikeuksien hallinta tukee sisäistä valvontaa ja auditointia.

Todennus varmistaa käyttäjän identiteetin, ja kertakirjautuminen helpottaa käyttöä useiden järjestelmien ympäristössä. Tukikäyttöoikeudet ja laajennetut käyttöoikeudet on hallittava hallitusti, jotta liiketoiminnan jatkuvuus varmistetaan myös poikkeustilanteissa. Hätäkäyttöratkaisut tukevat läpinäkyvyyttä tilanteissa, joissa järjestelmiin tarvitaan tilapäisesti laajempia oikeuksia.

Tietoturvan jatkuva seuranta on välttämätöntä kyberuhkien havaitsemiseksi, niihin reagoimiseksi ja vaatimustenmukaisuuden varmistamiseksi. Tämä edellyttää automatisoitua ja reaaliaikaista valvontaa osana organisaation tietoturvakäytäntöjä. SAP-ympäristöissä tämä on keskeinen keino haavoittuvuuksien hallintaan todelliseen riskitasoon perustuen.

Tietoturvakäytännöt kehittyvät jatkuvasti, eikä aiemmin riittävä suojaus enää välttämättä täytä nykyisiä vaatimuksia. SAP-järjestelmien konfigurointi tulee perustua virallisesti hyväksyttyyn SAP Security Baselineen, joka huomioi ajankohtaiset liiketoimintariskit, riskinsietokyvyn ja sovitut turvatoimenpiteet.

Security hardening tarkoittaa yhdenmukaisen ja dokumentoidun tietoturvakokoonpanon varmistamista koko SAP-ympäristössä. Tämä tukee vaatimustenmukaisuutta, tietosuojavelvoitteiden osoittamista ja turvallisen käyttötilan ylläpitämistä.

Tietoliikenteen suojaus kattaa järjestelmien väliset yhteydet, mukaan lukien todennuksen, valtuutuksen, salauksen ja avainten hallinnan. Näiden tulee olla määriteltyjä ja toteutettuja koko SAP-ympäristössä.

Tietoturva koskee myös tietojen suojausta levossa, käyttö- ja muutosoikeuksien hallintaa, lokitusta sekä lisäsuojakeinoja, kuten tietojen maskausta. Jatkuvaa tietoturvaa tuetaan automatisoiduilla konfiguraatiotarkastuksilla ja säännöllisellä testauksella.

SAP-järjestelmien tietoturva edellyttää myös koodin jatkuvaa ylläpitoa. SAP julkaisee säännöllisesti tietoturvapäivityksiä kuukausittaisina SAP Security Patch Day -julkaisuina. Haavoittuvuuksien hallintamalli varmistaa, että asiaankuuluvat tietoturvapäivitykset asennetaan säännöllisesti.

Päivittämättömät järjestelmät muodostavat merkittävän tietoturvariskin. Räätälöidyn koodin osalta tietoturva perustuu ABAP Custom Code Lifecycle Management -prosessiin, jossa varmistetaan, että kaikki koodi käy läpi tietoturva-arvioinnin.

Tietoturvallinen ohjelmistokehitys edellyttää myös automatisoitua koodin tarkastusta ja jatkuvaa seurantaa, jotta Security by Design -periaate toteutuu käytännössä.

Infrastruktuurin tietoturva kattaa SAP-ympäristön ulkopuoliset tekniset osa-alueet, kuten verkot, käyttöjärjestelmät, ei-SAP-tietokannat ja asiakaslaitteet.

Riskiperusteinen tietoturvan hallintamalli, joka pohjautuu esimerkiksi ISO 27001- tai NIST-viitekehyksiin, tukee kokonaisvaltaista suojausta. Uhkatiedon hyödyntäminen sekä SOC-toimintamallit tukevat toimintavarmaa ja joustavaa kyberpuolustusarkkitehtuuria.

Ulkoisten hyökkäysten torjuminen ja niiden vaikutusten minimoiminen ei enää onnistu pelkkien palomuurien avulla. Yritykset tarvitsevat tunkeutumisen havaitsemisjärjestelmiä sekä pilvipohjaisia datakeskuksia, jotka estävät luvattoman pääsyn sekä fyysisesti että verkon kautta.

Esineiden internetin (IoT) ja mobiililaitteiden yleistyessä SAP-järjestelmien turvallinen käyttö monimutkaistuu. Siksi tietoturvan hallinta edellyttää asiantuntemusta ja jatkuvaa valvontaa, esimerkiksi hallintapalveluiden avulla.

Yrityksen IT-ympäristö voi muuttua nopeasti turvallisesta haavoittuvaksi. Hallinnan säilyttäminen edellyttää systemaattista lähestymistapaa riskien tunnistamiseen, ymmärtämiseen, analysointiin ja arviointiin.

NTT DATA Business Solutionsin tietoturva-asiantuntijat tukevat kolmen puolustuslinjan mallin käyttöönottoa, jossa operatiivinen toiminta, riskienhallinta ja sisäinen tarkastus toimivat yhtenä kokonaisuutena. Tämä tarjoaa selkeän näkymän riskeihin ja auttaa varmistamaan vaatimustenmukaisuuden.

Liiketoiminnassa tapahtuvat petokset liittyvät usein puutteisiin käyttöoikeusmalleissa tai IT-infrastruktuurissa. Kattava petosten hallinta mahdollistaa uhkien tunnistamisen varhaisessa vaiheessa ja tukee nopeaa ja hallittua reagointia.

Hyödyt ulottuvat yrityksen sisäistä toimintaa laajemmalle, sillä liikekumppanit jakavat yhä useammin IT-järjestelmiä ja seuraavat niitä automaattisesti. Näin taloudellisia menetyksiä voidaan ehkäistä jo ennalta.

Identiteetin- ja roolienhallinta ovat vakiintuneita osa-alueita, mutta niiden merkitys tietoturvan ja vaatimustenmukaisuuden kannalta korostuu jatkuvasti. Liiketoimintadataan pääsee käsiksi yhä useampi laite, mikä lisää hallinnan vaatimuksia.

Yritysten on kyettävä myöntämään ja poistamaan käyttöoikeuksia nopeasti sekä hallitsemaan kasvavaa ja muuttuvaa käyttäjäkuntaa. Hajautetuissa IT-ympäristöissä kertakirjautuminen eri järjestelmiin on keskeinen edellytys hallitulle käytölle.

Digitaaliset alustat toimivat yhä useammin tavaroiden ja palveluiden markkinapaikkoina. Vaikka verkko ei tunne fyysisiä rajoja, kansainvälistä kauppaa koskevat säännökset ja vaatimukset ovat edelleen voimassa ja monimutkaisia.

Globaalien toimitusketjujen kanssa toimivien yritysten on varmistettava IT-vaatimustenmukaisuus erityisesti tuontiin ja vientiin liittyvissä prosesseissa. Luotettavat ratkaisut ja datakeskukset mahdollistavat digitaalisten tuotteiden ja tiedon turvallisen siirron kauppakumppaneiden välillä.