La seguridad SAP no debe ser un nicho de mercado
A la mayoría de las empresas les queda mucho por hacer en este ámbito.
Subestimar el problema de la seguridad ya no está a la altura de los tiempos. Solo una estrategia de ciberdefensa totalmente integrada y global que abarque toda la TI puede proteger de forma fiable frente a las amenazas actuales y futuras.
Esto significa que excluir SAP de un concepto holístico de seguridad en la empresa no puede ser eficaz.
Incluso un enfoque puro de la seguridad en temas de infraestructura ya no hace justicia a la situación actual de amenazas.
Del mismo modo que a nadie se le ocurriría dejar el corazón fuera de un chequeo médico completo, también debería estar claro que las aplicaciones SAP no pueden quedar fuera de las estrategias de seguridad.
Al fin y al cabo, las aplicaciones SAP son el "corazón" de muchas empresas, a través del cual se controlan todos los procesos empresariales centrales.
Más atención a SAP
Al fin y al cabo, las empresas reconocen cada vez más los problemas de seguridad del entorno SAP.
Uno de los motivos es que actualmente los auditores también se centran cada vez más en el mundo SAP y examinan las aplicaciones SAP en términos de seguridad durante las auditorías.
Y los casos en los que los departamentos de SAP reciben "señales de alarma" ya no son en absoluto una excepción.
Para la dirección, esto se traduce en la necesidad de dar a la cuestión de la seguridad más importancia de la que se le ha dado en el pasado.
Pero, ¿por dónde hay que empezar? En primer lugar, por las actuales estructuras organizativas de las empresas.
En SAP, todavía se puede hablar en general de un mundo compartimentado. Los departamentos SAP suelen estar separados del resto de los equipos informáticos y funcionan como unidades independientes y autónomas que sólo conceden un papel subordinado -si es que lo conceden- a la cuestión de la seguridad.
El tema de SAP está claramente orientado a la empresa. Sin embargo, cuando se trata de seguridad, hay que eliminar esta separación organizativa.
Los sistemas antiguos no bastan
Los conceptos de seguridad convencionales ya no son suficientes. Suelen basarse exclusivamente en la protección perimetral y en medidas reactivas.
Lo que se necesita, sin embargo, son soluciones de seguridad de extremo a extremo que incluyan también protección activa.
El clásico muro de protección de la red se complementa con mecanismos de seguridad proactivos que se extienden a las aplicaciones críticas para la empresa, como el software SAP.
Esto significa que hoy en día la seguridad informática debe ser mucho más que pura gestión de infraestructuras y tecnología. No son más que la base.
El primer paso para implantar nuevas estrategias de seguridad y cumplimiento debe ser un inventario, un análisis claro y una evaluación de riesgos que abarque toda la TI.
Sólo en los pasos posteriores se puede decidir sobre el uso de las herramientas o servicios adecuados.
Muchas posibilidades nuevas
Y aquí hay numerosas soluciones nuevas, especialmente para las aplicaciones SAP, ya que la propia SAP lleva tiempo ocupándose cada vez más de la cuestión de la seguridad y lanzando productos de seguridad al mercado.
Algunos ejemplos son SAP Single Sign-on para un acceso seguro a sistemas SAP y no SAP o SAP Identity Management para una administración eficaz de los usuarios.
Sin embargo, el uso de estas herramientas de seguridad SAP no es en absoluto suficiente. Sólo conduciría a la presencia de más soluciones aisladas en la empresa.
Igualmente importante es la vinculación coherente de las distintas soluciones, por ejemplo en el ámbito de la administración de usuarios.
Es obvio que sólo una implantación de los conceptos de autorización en toda la empresa tiene sentido. Establecer un mundo paralelo de SAP y el resto de la TI no puede ser la última palabra en sabiduría.
En otras palabras:
El uso de herramientas SAP, sí, pero también la vinculación con las soluciones que se utilizan en la empresa, es decir, la aplicación de un enfoque holístico con un alejamiento del pensamiento de silo con un mosaico de soluciones.
Y no hay que olvidar una cosa en todo el "debate sobre seguridad": En el pasado, la seguridad era una cuestión puramente informática.
Cada vez más, sin embargo, está surgiendo un cambio de paradigma que se caracteriza por dos aspectos: por un lado, la seguridad está cada vez más impulsada por el negocio y, por otro, la seguridad también impulsa el negocio.
Esto significa que la seguridad se clasifica cada vez más como un proceso crítico para la empresa y también se utiliza como diferenciador competitivo al comercializar la seguridad como parte de la calidad del producto, la solución o el servicio.
Así pues, la seguridad se está convirtiendo cada vez más en un factor empresarial central, como componente importante de la cadena de valor y como motor empresarial complementario.