Protección de datos sólo con seguridad de datos
Debido, entre otras cosas, a las nuevas normas de la UE, las ponencias sobre protección de datos de las Jornadas Tecnológicas del DSAG de este año contaron con una nutrida asistencia, especialmente las dedicadas a las funciones de SAP que pueden garantizar la protección de datos.
Conclusión: SAP está bien posicionado para la protección de datos, incluso si tuviera que utilizar SAP GRC para algunas funciones.
Sin embargo, de poco sirve la protección de datos si no se garantiza su seguridad. Aquí es necesario cerrar algunas puertas traseras abiertas. En el propio sistema SAP, los datos están bien protegidos por el concepto de autorización.
Sin embargo, las exportaciones de datos, los trabajos de impresión y los correos electrónicos de SAP hacen que los datos de SAP salgan del "puerto protector". Esto se debe a que en SAP se puede descargar todo aquello a lo que se tiene acceso o no exportar ningún dato si falta esta autorización.
En la era de la "economía abierta", en la que las empresas trabajan cada vez más con socios, trabajadores externos y autónomos, no se pueden prohibir las exportaciones, pues de lo contrario se paralizarían procesos importantes.
Por lo tanto, es necesario controlar quién está autorizado a procesar qué datos y con qué fin fuera del sistema SAP. El intercambio automático de datos entre aplicaciones y sistemas, por ejemplo mediante interfaces RFC o de servicios web, también debilita la protección de datos.
Es casi imposible garantizar que el control de acceso y transferencia se traslade con los datos al sistema de destino. Esto se debe a que los distintos sistemas suelen tener conceptos de autorización diferentes.
La digitalización progresiva de los últimos años ha dado lugar a numerosas aplicaciones satélite más pequeñas no SAP en torno al ERP SAP que intercambian datos de forma muy intensiva con el SAP central. Con el Internet de las cosas (IoT), el tráfico de datos se está volviendo aún más intensivo y los puntos finales de datos aún más numerosos.
Así que cualquiera que piense en la protección de datos en los próximos meses debería sin duda crear las condiciones adecuadas e invertir en la seguridad de los datos. Es difícil asegurar todos los puntos finales que generan y consumen datos y todos los canales que los transportan.
Los atacantes siempre buscarán el punto más débil y accederán rápidamente a los datos sensibles o críticos para la empresa gracias a la sólida interconexión de los sistemas.
Por ello, un enfoque inteligente y orientado al futuro consiste en proteger los propios datos. Esto puede llevarse a cabo clasificando la información a medida que se crea como base para un control granular de las descargas.
De este modo, sólo los datos realmente necesarios en los sistemas de destino salen del sistema de origen. El requisito previo es que el sistema de destino también pueda garantizar la protección de los datos.
Es importante contar con una profunda integración de la solución de clasificación en SAP para que este proceso pueda aplicarse automáticamente. La clasificación manual ralentiza los procesos y, por tanto, no suele aplicarse de forma coherente en el trabajo diario.
Además, el concepto de autorización de SAP ya puede ampliarse a las exportaciones de datos con tecnologías DRM como RMS de Microsoft. De este modo, los usuarios pueden controlar quién puede acceder al documento cifrado y qué opciones de uso (lectura, escritura, impresión, etc.) están permitidas.
Si nos fijamos en el mundo de la exportación y el tratamiento de datos por parte de los empleados, que tradicionalmente suponen el mayor riesgo para la seguridad de los datos, hoy en día ya se dispone de muy buenas soluciones para garantizar la seguridad, incluso para los nuevos requisitos de cumplimiento.
Por ello, los expertos ya están trabajando en el siguiente reto: proteger los datos que se transfieren automáticamente entre aplicaciones en segundo plano.
Porque esta comunicación "máquina a máquina" aumentará aún más en el futuro y el control de accesos es aquí aún más complejo.