Security risico’s met nieuwe SAP technologieën

SAP verbetert continue haar producten met nieuwe functionaliteiten en nieuwe technologieën. De verbeteringen zijn vooral businessgericht en ter optimalisatie van SAP voor de eindgebruikers.

Het is niet bijzonder dat security daarbij niet de hoogste prioriteit krijgt. Security maakt altijd wel onderdeel uit van nieuwe ontwikkelingen, maar wordt - net als niet security aspecten - nooit helemaal 'uit-ontwikkeld'. Met nieuwe producten worden standaard rollen of autorisatie groepen meegeleverd om eenvoudig te kunnen opstarten. Vaak met het advies om die simpel te kopiëren.

In de oude security- en autorisatiewereld van SAP werd alles gedaan met de profile generator (transactie PFCG). Nu is er Web Dynpro, Web UI’s, HANA, et cetera. Soms kan nog PFCG gebruikt worden, maar niet op dezelfde manier als voorheen en moet er meer gedaan worden om het werkend te krijgen. Nieuwe SAP-releases brengen in de regel wel verbeteringen op het vlak van security en autorisaties. Verbetering vindt dan plaats via nieuwe Netweaver basisversies en ondersteuning via OSS (security) notes met oplossingen en uitleg van issues.

Ook een organisatie die een nieuw product of nieuwe technologie binnenhaalt, denkt vaak niet in eerste instantie aan de beveiligingsaspecten. Alleen een organisatie die een duidelijke focus heeft op security, zal hiermee rekening houden bij de implementatie. Goede kennis en ervaring op het gebied van security en autorisaties is daarbij essentieel. Maar die is vaak schaars binnen organisaties, vanwege kostenbesparingen en toenemende outsourcing.

Voor een organisatie is het belangrijk om de kennis en ervaring van hun security- en autorisatie-experts op peil te houden. Of neem contact op met 2ARC; wij hebben immers de expertise.