Branche – Großunternehmen, E-Commerce-Marktplatz
Unternehmensgröße – über 40.000 Mitarbeiter, >13 Mrd. $ Umsatz
Herausforderung
Die oberste Führungsebene von MercadoLibre verfolgte schon immer einen äußerst proaktiven Ansatz, um sensible Daten vor Cyberangriffen zu schützen. Angesichts der zunehmenden Bedrohungen für SAP®-Umgebungen stand Diego Cabrera Canay, Leiter der Abteilung Finanzplanung, Analyse und Control MercadoLibre, vor der Herausforderung, die geschäftskritische platform des Unternehmens abzusichern.
Diego analysierte die Situation gemeinsam mit zwei Kollegen: Jorge O’Higgins, Senior Manager für Informationssicherheit, und Sebastian Monaco, Senior SAP-Sicherheitsanalyst. „Uns wurde klar, dass wir über die Zugriffskontrollen für Benutzer hinaus wissen mussten, wo wir in Bezug auf die Sicherheitsrisiken der SAP-Anwendungen standen“, erklärte Sebastian.
Sie kamen bald zu dem Schluss, dass sie einen Prozess festlegen mussten, um die Umsetzung von SAP-Sicherheitshinweisen zu steuern und ihre Systeme vor bekannten Schwachstellen zu schützen. „SAP-Sicherheitshinweise werden von unseren BASIS-Teams umgesetzt. Allerdings fehlten uns die Möglichkeiten, um zu erkennen, welche uns noch fehlten und welche wir schnell umsetzen mussten“, erklärte Diego. „Außerdem konnten wir nicht ohne Weiteres überprüfen, ob sie tatsächlich umgesetzt worden waren.“
„Zwar verfügten wir über Prozesse und Produkte zur assess Sicherheit unserer Webanwendungen, Betriebssysteme und Datenbanken, doch keines davon ermöglichte uns eine gründliche Überprüfung unserer SAP-Anwendungen. Onapsis hat diese Lücke perfekt geschlossen.“
Lösung
MercadoLibre entschied sich für Onapsis, die erste und einzige SAP-zertifizierte Lösung für automatisierte Sicherheitsbewertungen von Anwendungen auf SAP-Plattformen. „Onapsis war das einzige Produkt auf dem Markt, das uns diese Funktionen bieten konnte“, betonte Jorge.
Onapsis ermöglicht es Fachleuten aus den Bereichen Compliance, Informationssicherheit und SAP, über die Kontrollen zur Aufgabentrennung hinauszugehen. Das Produkt überprüft die SAP-Anwendungsschicht (NetWeaver/BASIS) eingehend auf Schwachstellen und unsichere Konfigurationen technischer Parameter, fehlende SAP-Sicherheitspatches, unsichere Schnittstellen zwischen SAP-Komponenten sowie Benutzer mit risikobehafteten technischen Berechtigungen (sowohl für ABAP- als auch für Java-basierte SAP-Systeme). Das Produkt, das kontinuierliche Überwachungsfunktionen bietet, schließt die SAP-Sicherheitslücke, unter der viele Unternehmen leiden, indem es präzise über bestehende Bedrohungen für ihre platform berichtet platform umsetzbare Informationen zur Behebung bereitstellt.
„Als börsennotiertes Unternehmen müssen wir die SOX-Vorschriften einhalten. Uns war klar, dass wir hinsichtlich der aktuellen Anforderungen an unsere SAP-Umgebung auf dem neuesten Stand bleiben mussten, und Onapsis war das einzige Produkt, das uns dabei helfen konnte, Lücken in der Sicherheitsschicht der SAP-Anwendung zu erkennen und zu schließen.“
Ergebnisse
Als börsennotiertes Unternehmen müssen wir die SOX-Vorschriften einhalten. Uns war bewusst, dass wir hinsichtlich der aktuellen Anforderungen an unsere SAP-Umgebung auf dem neuesten Stand bleiben mussten, und Onapsis war das einzige Produkt, das uns dabei helfen konnte, Lücken in der Sicherheitsschicht der SAP-Anwendung zu erkennen und zu schließen. Onapsis hat uns dabei unterstützt, den Prozess zur Umsetzung von SAP-Sicherheitshinweisen zu optimieren. Wir können nun automatisch platform Prioritäten erkennen, welche davon tatsächlich Auswirkungen auf unsere platform haben, und so auch deren korrekte Umsetzung überprüfen.
Vor der Einführung von Onapsis war MercadoLibre lediglich darauf vorbereitet, bei Vorfällen punktuelle Überprüfungen durchzuführen. Heute ist die Sicherheitslage des Unternehmens deutlich robuster: „Wir verfügen über eine proaktive und effiziente Lösung, um unsere SAP-Systeme sicher zu betreiben und die Wahrscheinlichkeit erfolgreicher Angriffe auf unsere geschäftskritischen Systeme zu minimieren“, erklärte Diego.