Clasificación de los datos de los factores de éxito
Los conceptos clásicos de acceso basado en roles son estáticos y en un principio sólo describen el rol del usuario en términos abstractos con perfiles como "empleado" o "jefe de proyecto".
Muchos administradores de SAP crean la referencia a departamentos y grupos de proyectos definiendo variantes como "Empleado Dpto. 1", "Empleado Dpto. 2" o "Jefe de proyecto Proyecto A". Esto fuerza la dinámica organizativa a un concepto estático que no es manejable ni eficaz a largo plazo.
Límites del concepto de autorización SAP
En cuanto un empleado cambia de departamento o trabaja en varios proyectos al mismo tiempo, se requiere una enorme cantidad de mantenimiento, casi imposible de gestionar para los departamentos informáticos.
En muchos casos, la complejidad de los perfiles aumenta hasta tal punto que nadie sabe qué derechos de acceso se han asignado realmente. La respuesta de los administradores informáticos suele ser entonces una gestión muy restrictiva de las autorizaciones.
El resultado: los usuarios se ven perjudicados en sus operaciones cotidianas y la eficacia de los procesos se resiente. Esto conduce a menudo a una relajación generosa y a corto plazo de los corsés de derechos individuales sin llevar a cabo un análisis en profundidad del riesgo para la seguridad.
El problema parece haberse resuelto por el momento, pero debido a la gran cantidad de recursos invertidos en los departamentos de TI, la medida a menudo no se revierte y el concepto de autorización, antaño seguro, se convierte en un billete gratis para los ataques internos y el robo de datos.
La creciente digitalización e interconexión de las aplicaciones también está llevando al límite los procedimientos probados. Tanto SAP S/4 Hana como numerosas aplicaciones conectadas de terceros proveedores tienen sus propios conceptos de autorización que no están integrados en el sistema de autorización convencional de SAP.
Los riesgos de seguridad resultantes son reconocidos por muchos departamentos especializados, pero la sincronización continua suele fracasar por falta de presupuesto y recursos: los CISO (Chief Information Security Officer), que son los verdaderos responsables del tema, no suelen disponer de recursos propios y apenas reciben apoyo de las operaciones operativas de TI, pues los empleados ya están ocupados con otros proyectos.
Aunque en este punto el CIO sigue confiando en sus especialistas, la cuestión de la seguridad de los datos acaba en última instancia en los escritorios de los CEO y CFO, que están demasiado alejados del tema en términos de contenido. Sin embargo, en la mayoría de los casos, son ellos los responsables si se produce un incidente: un triángulo de las Bermudas que hay que romper.
Establecer conceptos de seguridad centrados en los datos
Para poder proteger eficazmente los datos de SAP en el mundo digitalizado, se necesitan nuevos conceptos dinámicos de seguridad informática basados en el concepto de autorización de SAP, pero centrados en los propios datos.
Para ello es esencial una clasificación de datos normalizada en toda la empresa. Para implantarla en la empresa, los responsables deben centrarse primero en los procesos. Ayudan a comprender, pero también a examinar críticamente, para qué se necesitan los datos y cómo se procesan.
En cuanto se disponga de estos resultados, se podrá determinar su importancia para el éxito de la empresa y los requisitos de protección correspondientes. Para acelerar el proceso, se recomienda utilizar un moderno software de análisis de procesos. A continuación, deben definirse y describirse clases de datos y requisitos de protección claramente definibles.
Aquí hay que superar dos retos fundamentales: el primero se refiere a la comprensibilidad general y de las distintas clases de requisitos de protección.
En otras palabras, ¿qué significa que los datos se clasifiquen como "confidenciales", por ejemplo? ¿Qué grupos de usuarios y funciones están autorizados a acceder a qué datos y en qué medida?
Una clasificación eficaz de los datos debe responder a estas preguntas de forma comprensible para todos los usuarios y no debe contradecir los requisitos derivados de las distintas fases del proceso.
El segundo reto es de naturaleza más técnica y se refiere a la aplicación dinámica o adaptable de los requisitos de protección. Resulta útil una clasificación relacionada con el contexto, en la que se utilice el entorno organizativo y técnico de la generación o el uso de los datos y se compare automáticamente con las definiciones de las clases de requisitos de protección.
Este enfoque presenta varias ventajas con respecto a la clasificación clásica, basada en el contenido: En primer lugar, depende menos de los cambios que se producen, por ejemplo, cuando se adaptan los contenidos o los tipos de archivos.
En segundo lugar, permite tener en cuenta otras dimensiones, como la referencia temporal. Los datos financieros o las innovaciones de productos, por ejemplo, pierden su confidencialidad cuando se publican.
Un concepto eficaz de seguridad de los datos reconoce esta dinámica y ajusta automáticamente los derechos de acceso en el momento oportuno. Lo mismo ocurre con las estructuras organizativas y las jerarquías.
Idealmente, durante la comprobación de la autorización, la solución de seguridad utiliza un organigrama digital centralizado para consultar a qué nivel jerárquico pertenece el usuario y aplica automáticamente las clases de protección correspondientes.
Protección de los datos SAP más allá de los límites del sistema
Para los administradores de SAP, el nuevo enfoque centrado en los datos significa que tienen que pensar más allá de los límites del sistema SAP cuando se trata de la seguridad. Si los datos para los que SAP es la fuente de datos original y autorizada salen del sistema SAP a través de descargas de usuarios o transferencias de datos en segundo plano, siempre deben clasificarse multidimensionalmente.
SAP proporciona un contexto muy amplio de atributos que facilita la aplicación automatizada de la clasificación. Sin embargo, esto no impide que los datos salgan de los límites seguros de SAP. Si desea proteger eficazmente los datos SAP fuera del mundo SAP, necesita tecnologías adicionales.
Aquí es precisamente donde entra Halocore de Secude. Basada en una clasificación de datos basada en el contexto, la solución de seguridad de datos controla las descargas y exportaciones de los usuarios de SAP. Las descargas no autorizadas se bloquean para que los datos críticos o sensibles no salgan del sistema SAP en primer lugar.
Los datos que se requieren fuera de SAP se dotan automáticamente del correspondiente perfil de protección Microsoft AIP/RMS (Azure Information Protection/Rights Management Service) y se cifran. Esto transfiere el perfil de clasificación y autorización de SAP al archivo exportado.
Por primera vez, esto permite una protección entre procesos que no afecta a las operaciones operativas de TI ni a los usuarios de los departamentos especializados. La seguridad de los datos sigue a los datos y no es reinterpretada constantemente por los silos de aplicaciones individuales.
Conclusión
El elemento central de la aplicación de nuevos conceptos de seguridad es una clasificación multidimensional y contextual de todos los datos de la empresa con mayores requisitos de protección. Esto puede derivarse de los procesos empresariales mediante análisis automatizados. El factor decisivo a la hora de definir las clases de datos y requisitos de protección es la trazabilidad clara de qué grupos de usuarios y funciones están autorizados a acceder a los datos correspondientes y en qué medida.
Al guardar el documento, debe quedar claro para el usuario qué clase de datos debe seleccionar. Añadiendo las dimensiones de tiempo y jerarquía, también puede garantizarse que los datos puedan protegerse eficazmente en todos los pasos posteriores del proceso soportados por SAP.
Sin embargo, para proteger los datos más allá de los límites de la aplicación, se necesitan soluciones técnicas adicionales que garanticen que los requisitos de protección también se transfieren fuera de los sistemas SAP. Aquí se recomiendan soluciones integrales de seguridad de datos que puedan asignar clases de datos, así como funciones de usuario.
En cualquier caso, debería confiar en plataformas estándar establecidas que sean compatibles con todas las aplicaciones comunes como "instancia de seguridad". Halocore, por ejemplo, utiliza las tecnologías estándar de Microsoft para dar soporte a las exportaciones de datos necesarias más allá de la plataforma SAP
proteger las fronteras.
[/av_promobox]