Bezpečnost ERP systémů představuje komplikované téma. Podobně jako v případě databází jde často o aplikaci oddělenou od zbytku IT, k nimiž správci zabezpečení IT v podnicích nemají vůbec přístup. Do klíčových aplikací se z obavy před výpadkem mnohdy raději vůbec nevrtá, neinstalují se ani bezpečnostní záplaty výrobců. Navíc vlastní bezpečnost je k systému často přidána až dodatečně.
Ericka Chickowski na DarkReading.com uvádí, že přechod na SAP S/4 HANA by ale situaci mohl změnit a firmy by si migraci mohly (respektive měly) připravit už rovnou včetně odpovídajícího zabezpečení. Na migraci ze SAP Business Suite je totiž docela dost času (SAP přislíbil podporu pro Business Suite do r. 2027) a stojí za to do ní tentokrát zapojit bezpečnostní týmy od začátku a nelepit bezpečnostní vrstvu až nakonec. Celý proces migrace lze využít také k otestování stávajících bezpečnostních mechanismů v ERP.
To ale neznamená, že celý proces má smysl odkládat – plánování migrace by mělo v podnicích začít co nejdříve, a to včetně koordinace všech zúčastněných týmů, včetně bezpečnostních specialistů. To alespoň doporučuje J.P. Perez-Etchegoyen, CTO firmy Onapsis, která se specializuje právě na zabezpečení ERP systémů. Vyhnout se nutnosti lepit zabezpečení k ERP systému dodatečně by celý proces mělo také zlevnit. Studie společnosti Turnkey Consulting uvádí, že více než 2/3 podniků připouštění, že při předcházejícím nasazování systémů SAP věnovaly bezpečnosti nedostatečnou pozornost a 75 % respondentů uvádí, že při budoucích nasazení systémů SAP bude mít zabezpečení vyšší prioritu. Více než polovina (53 %) pak připouští, že při auditu stávajících implementací SAP jsou běžně zjišťovány bezpečnostní problémy. Speciálně až 93 % respondentů očekává, že při auditu by se mohly najít bezpečnostní mezery ve spojení s řízením přístupu, ať už jde o nouzový přístup nebo účty s vysokými oprávněními. 75 % respondentů pak uvádí, že náprava zabezpečení produkčního systému SAP narušuje běžný provoz podniku (proto se do ERP systémů mnohdy raději vůbec nezasahuje, viz výše). Při přechodu SAP S/4HANA by proto mělo být cílem maximu takových budoucích nepříjemností zabránit předem.
Perez-Etchegoyen doporučuje, aby před migrací podniky především prošly stávající vlastní kód, který používají spolu se systémy SAP. Všechna tato přizpůsobení zvyšují složitost prostředí, nároky na správu/údržbu i riziko problémů. Organizace by proto měly tento kód pročistit a odstranit z něj vše, co aktuálně nevyužívají. Podrobná analýza vlastního kódu by měla zajistit, aby se do nového prostředí pokud možno nepřenesly staré problémy.
Další doporučení uvádějí, aby se firmy soustředily nejen na aplikační vrstvu, ale i na databáze. Jonathan Haun, ředitel firmy Enowa, která funguje v roli poradce pro systémy SAP, upozorňuje, že kromě tradiční vrstvy aplikačních serverů ABAP obsahuje systém S/4HANA právě také novou databázovou vrstvu, a model zabezpečení je tudíž třeba implementovat i na úrovni databáze. V nové verzi se navíc řada procesů přesunula na úroveň databáze, obecně je potenciál pro podvody a kybernetické útoky na obou vrstvách nyní zhruba stejný. Současní specialisté na zabezpečení systémů SAP ale mnohdy nemají s prací na databázové vrstvě dostatečné zkušenosti. J. Haun dále uvádí, že pro řízení zabezpečení na různých úrovních systému SAP S/4 HANA neexistuje univerzální nástroj. Dostupné nástroje pro řízení zabezpečení se rychle vyvinuly a změnily, takže před migrací budou i experti potřebovat nějaký čas na zvládnutí nového know-how, k novým funkcím je rovněž zatím relativně omezenější nabídka školení atp.