在我20多年的顾问工作中，从来没有遇到过一个客户一开始就说安全不重要，

当然他们都在一定程度上关心这个问题，虽然资源有限，但他们还是会尽力去做必要的事情，但是在真正的安全措施的实施上，我面临着两个问题主要的障碍导致资源流失，往往导致无法完成工作，什么是返利，甚至无法开始工作。

首先，存在透明度问题：很多时候，企业感到比实际更安全，这导致工作根本无法开始。SAP领域的一个完美例子是it员工定期修补自己的问题基于SAP安全补丁日（每个月的第二个星期二）发布的系统。虽然这已经是一项壮举，但经常被忽略的是，许多补丁不仅需要应用所包含的更正，而且还需要手动配置。因此，这些注释的更正没有利用它们的功能保护效果！这正是过去RFC网关和消息服务器安全故事中发生的情况：太多的SAP团队没有发现这一点，并且对媒体最近报道的10家公司中有9家可能仍处于风险之中感到非常惊讶，其中可能包括他们的公司！

令许多SAP客户感到惊讶的是，当我向他们指出他们多年来一直可以获得的信息时，但迄今为止从未使用过：早期监视警报。这是由SAP Solution Manager系统创建的标准定期报告。它始终包含应优先处理的详细安全部分。此部分将指向任何SAP客户—当然，如果已阅读报告的话！–缺少网关安全设置。如果早期监视警报报告（或其云版本）仍不足以满足您的需要，您可以轻松地使用SAP Solution Manager中的配置验证应用程序，并向其提供SAP安全基线模板中的内容。在几个小时内，您将有一个相当体面的、定制的关于手头缺少的配置项的报告！在许多情况下，我与SAP客户打过交道，这两个应用程序都让人大开眼界。

但现在让我们来谈谈第二个，甚至更大的问题：在知道需要做什么之后，安全措施会消耗资源，因为它们的实现很乏味。困难的不是实现本身，而是逃避这些都不容易判断，除非你有经验丰富的员工，即使这样，这些人也可能无法预见特定客户环境中的一些奇怪的复杂情况。因此，安全设置通常需要回归测试。这是非常昂贵的，web云服务器，因为这需要由业务部门来完成，以确保其关键应用程序不会受到不利影响。

因此，公司往往回避实施安全措施，因为他们缺乏时间和技能来完成所有需要的测试。然而，始终将稳定性置于安全之上当然是一个相当糟糕的主意，因为如果系统遭到黑客攻击，业务应用程序也将不再可用。我曾经有一个客户遭到黑客攻击，不得不关闭一个生产系统6周（！）包括所有的取证和重建活动。在这个特殊的案例中，云端云服务器，它是可以生存的，因为系统只运行一个"次要"的业务应用程序，合作伙伴的物流也在一定程度上下降了，这仍然花费了很多钱。明白吗？安全性做得不好=停机的重大风险。不良的媒体报道和数据丢失的重要性通常要低得多。

那么，我们如何将阻止企业正确实施必要的安全设置和更正的努力降到最低？经过这么多年的"业务优先"讨论，对我来说，以下策略最有效：永远不要单独运行它，只需将安全性与其他更改活动放在一起：1。实施高优先级更正和正常业务更改（"客户发布周期"）。2。在软件升级活动中一次性实施其他安全措施。后一个是我最近最喜欢的：在一个重大的变更活动中，在SAP Basis团队完成了技术升级之后，我得到了一天的系统。我把所有的安全设置都放进去了，直到今天以后，系统才会再次开放给企业进行测试。听起来有点像是不需要动脑筋，但是仍然有很多安全团队在努力尝试，大数据实战，把安全作为一个单独的活动来实现。当然，如果出了问题，这会受到所有的指责。

最近，越来越多的公司问SAP为什么需要所有这些。如果SAP已经推荐了某些安全设置（请阅读SAP过去发布的安全白皮书），那么我们为什么要实施这些设置呢？为什么SAP不马上发货？好吧，我们现在有了！SAP满足了这一流行需求，自9月20日以来，SWPM和SUM在安装、复制或转换到S/4HANA 1909时自动维护额外的安全设置。有关详细信息，请参阅SAP说明2714843和2713544。因此，与过去的隐式手动选择加入不同，SAP将这一原则颠倒过来，并将其置于主动退出状态。如果个别客户后来观察到不利影响，怎么做淘客，他们可以自行停用设置—这比其他方式更简单。

底线：

使用SAP提供的工具和服务，如早期监视警报、配置验证和系统建议（它显示缺少的安全修补程序）。这些都告诉您以节约成本的方式解决差距。总是适时引入破坏性的安全设置。升级情况和新的安装是非常好的时间点。不需要额外的测试-这是安全性中最昂贵的部分。SAP现在也推出了新的S/4版本，提供了最新的"默认安全"设计。因此，如果您正在运行转换，则无需对各种设置执行任何操作。