La plataforma global e independiente para la comunidad SAP.

Clasificación de los datos de los factores de éxito

Los datos que antes podían protegerse mediante conceptos de autorización de SAP se exportan ahora cada vez más desde sistemas SAP seguros y se redistribuyen a través de aplicaciones de terceros como MS Office. Quienes deseen proteger sus datos deben pensar en nuevos conceptos de seguridad centrados en los datos y anclarlos como proceso central en las operaciones operativas de TI.
Holger Hügel, Secude
21 de septiembre de 2017
Clasificación de los datos de los factores de éxito
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Los conceptos clásicos de acceso basado en roles son estáticos y en un principio sólo describen el rol del usuario en términos abstractos con perfiles como "empleado" o "jefe de proyecto".

Muchos administradores de SAP crean la referencia a departamentos y grupos de proyectos definiendo variantes como "Empleado Dpto. 1", "Empleado Dpto. 2" o "Jefe de proyecto Proyecto A". Esto fuerza la dinámica organizativa a un concepto estático que no es manejable ni eficaz a largo plazo.

Límites del concepto de autorización SAP

En cuanto un empleado cambia de departamento o trabaja en varios proyectos al mismo tiempo, se requiere una enorme cantidad de mantenimiento, casi imposible de gestionar para los departamentos informáticos.

En muchos casos, la complejidad de los perfiles aumenta hasta tal punto que nadie sabe qué derechos de acceso se han asignado realmente. La respuesta de los administradores informáticos suele ser entonces una gestión muy restrictiva de las autorizaciones.

El resultado: los usuarios se ven perjudicados en sus operaciones cotidianas y la eficacia de los procesos se resiente. Esto conduce a menudo a una relajación generosa y a corto plazo de los corsés de derechos individuales sin llevar a cabo un análisis en profundidad del riesgo para la seguridad.

El problema parece haberse resuelto por el momento, pero debido a la gran cantidad de recursos invertidos en los departamentos de TI, la medida a menudo no se revierte y el concepto de autorización, antaño seguro, se convierte en un billete gratis para los ataques internos y el robo de datos.

La creciente digitalización e interconexión de las aplicaciones también está llevando al límite los procedimientos probados. Tanto SAP S/4 Hana como numerosas aplicaciones conectadas de terceros proveedores tienen sus propios conceptos de autorización que no están integrados en el sistema de autorización convencional de SAP.

Los riesgos de seguridad resultantes son reconocidos por muchos departamentos especializados, pero la sincronización continua suele fracasar por falta de presupuesto y recursos: los CISO (Chief Information Security Officer), que son los verdaderos responsables del tema, no suelen disponer de recursos propios y apenas reciben apoyo de las operaciones operativas de TI, pues los empleados ya están ocupados con otros proyectos.

Aunque en este punto el CIO sigue confiando en sus especialistas, la cuestión de la seguridad de los datos acaba en última instancia en los escritorios de los CEO y CFO, que están demasiado alejados del tema en términos de contenido. Sin embargo, en la mayoría de los casos, son ellos los responsables si se produce un incidente: un triángulo de las Bermudas que hay que romper.

Holger Huegel

Establecer conceptos de seguridad centrados en los datos

Para poder proteger eficazmente los datos de SAP en el mundo digitalizado, se necesitan nuevos conceptos dinámicos de seguridad informática basados en el concepto de autorización de SAP, pero centrados en los propios datos.

Para ello es esencial una clasificación de datos normalizada en toda la empresa. Para implantarla en la empresa, los responsables deben centrarse primero en los procesos. Ayudan a comprender, pero también a examinar críticamente, para qué se necesitan los datos y cómo se procesan.

En cuanto se disponga de estos resultados, se podrá determinar su importancia para el éxito de la empresa y los requisitos de protección correspondientes. Para acelerar el proceso, se recomienda utilizar un moderno software de análisis de procesos. A continuación, deben definirse y describirse clases de datos y requisitos de protección claramente definibles.

Aquí hay que superar dos retos fundamentales: el primero se refiere a la comprensibilidad general y de las distintas clases de requisitos de protección.

En otras palabras, ¿qué significa que los datos se clasifiquen como "confidenciales", por ejemplo? ¿Qué grupos de usuarios y funciones están autorizados a acceder a qué datos y en qué medida?

Una clasificación eficaz de los datos debe responder a estas preguntas de forma comprensible para todos los usuarios y no debe contradecir los requisitos derivados de las distintas fases del proceso.

El segundo reto es de naturaleza más técnica y se refiere a la aplicación dinámica o adaptable de los requisitos de protección. Resulta útil una clasificación relacionada con el contexto, en la que se utilice el entorno organizativo y técnico de la generación o el uso de los datos y se compare automáticamente con las definiciones de las clases de requisitos de protección.

Este enfoque presenta varias ventajas con respecto a la clasificación clásica, basada en el contenido: En primer lugar, depende menos de los cambios que se producen, por ejemplo, cuando se adaptan los contenidos o los tipos de archivos.

En segundo lugar, permite tener en cuenta otras dimensiones, como la referencia temporal. Los datos financieros o las innovaciones de productos, por ejemplo, pierden su confidencialidad cuando se publican.

Un concepto eficaz de seguridad de los datos reconoce esta dinámica y ajusta automáticamente los derechos de acceso en el momento oportuno. Lo mismo ocurre con las estructuras organizativas y las jerarquías.

Idealmente, durante la comprobación de la autorización, la solución de seguridad utiliza un organigrama digital centralizado para consultar a qué nivel jerárquico pertenece el usuario y aplica automáticamente las clases de protección correspondientes.

2017 09 E3 Clasificación de datos de cifras
Modelo de clasificación de datos multidimensional y contextual para datos financieros.

Protección de los datos SAP más allá de los límites del sistema

Para los administradores de SAP, el nuevo enfoque centrado en los datos significa que tienen que pensar más allá de los límites del sistema SAP cuando se trata de la seguridad. Si los datos para los que SAP es la fuente de datos original y autorizada salen del sistema SAP a través de descargas de usuarios o transferencias de datos en segundo plano, siempre deben clasificarse multidimensionalmente.

SAP proporciona un contexto muy amplio de atributos que facilita la aplicación automatizada de la clasificación. Sin embargo, esto no impide que los datos salgan de los límites seguros de SAP. Si desea proteger eficazmente los datos SAP fuera del mundo SAP, necesita tecnologías adicionales.

Aquí es precisamente donde entra Halocore de Secude. Basada en una clasificación de datos basada en el contexto, la solución de seguridad de datos controla las descargas y exportaciones de los usuarios de SAP. Las descargas no autorizadas se bloquean para que los datos críticos o sensibles no salgan del sistema SAP en primer lugar.

Los datos que se requieren fuera de SAP se dotan automáticamente del correspondiente perfil de protección Microsoft AIP/RMS (Azure Information Protection/Rights Management Service) y se cifran. Esto transfiere el perfil de clasificación y autorización de SAP al archivo exportado.

Por primera vez, esto permite una protección entre procesos que no afecta a las operaciones operativas de TI ni a los usuarios de los departamentos especializados. La seguridad de los datos sigue a los datos y no es reinterpretada constantemente por los silos de aplicaciones individuales.

Conclusión

El elemento central de la aplicación de nuevos conceptos de seguridad es una clasificación multidimensional y contextual de todos los datos de la empresa con mayores requisitos de protección. Esto puede derivarse de los procesos empresariales mediante análisis automatizados. El factor decisivo a la hora de definir las clases de datos y requisitos de protección es la trazabilidad clara de qué grupos de usuarios y funciones están autorizados a acceder a los datos correspondientes y en qué medida.

Al guardar el documento, debe quedar claro para el usuario qué clase de datos debe seleccionar. Añadiendo las dimensiones de tiempo y jerarquía, también puede garantizarse que los datos puedan protegerse eficazmente en todos los pasos posteriores del proceso soportados por SAP.

Sin embargo, para proteger los datos más allá de los límites de la aplicación, se necesitan soluciones técnicas adicionales que garanticen que los requisitos de protección también se transfieren fuera de los sistemas SAP. Aquí se recomiendan soluciones integrales de seguridad de datos que puedan asignar clases de datos, así como funciones de usuario.

En cualquier caso, debería confiar en plataformas estándar establecidas que sean compatibles con todas las aplicaciones comunes como "instancia de seguridad". Halocore, por ejemplo, utiliza las tecnologías estándar de Microsoft para dar soporte a las exportaciones de datos necesarias más allá de la plataforma SAP
proteger las fronteras.
[/av_promobox]

https://e3mag.com/partners/secude-gmbh/

avatar
Holger Hügel, Secude

Holger Hügel es Vicepresidente de Productos y Servicios de Secude


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 24 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.