La plataforma global e independiente para la comunidad SAP.

Con la Industria 4.0, la seguridad se queda rápidamente en el camino

Hace unos años, comprobé el concepto de autorización de un fabricante de plantas con varios miles de empleados, ¿y qué encontré? Los compradores de una planta podían desencadenar ejecuciones de pago en las demás plantas de la empresa.
Bernd Israel, Sivis
13 julio 2017
It-Seguridad
avatar
Este texto ha sido traducido automáticamente del alemán al español.

En el caso del fabricante de plantas, esta combinación de autorizaciones se produjo a través de un concepto de autorización históricamente cultivado en el que las funciones siempre se heredaban y se enriquecían con transacciones adicionales.

Desgraciadamente, este planteamiento sigue siendo práctica común en muchas empresas hoy en día y facilita que los empleados se enriquezcan a costa de su propia empresa.

Una buena gestión de las autorizaciones SAP contrarresta esta situación. Reduce el riesgo de acceso no autorizado a datos críticos de los sistemas SAP.

Un concepto de autorización actualizado es esencial para la protección de datos en empresas y organizaciones. Demuestra quién tiene acceso a qué datos en la empresa.

Un concepto de autorización sofisticado también tiene en cuenta las sustituciones de personal en caso de enfermedad y baja. También tiene en cuenta el traslado de personal a otros departamentos o su salida. Los nuevos usuarios se integran automáticamente en el concepto de autorización.

Pero hay otra novedad que me preocupa mucho más. Las nuevas tendencias informáticas, como los dispositivos móviles y las aplicaciones relacionadas, están desbaratando la cuestión de la seguridad en las empresas, desde la base.

Aquí aludo sobre todo a la conexión directa en red a nivel de dispositivos a través de IoT e Industria 4.0. Hay que imaginárselo: De repente, incluso los dispositivos tienen derechos de acceso a los datos personales y los procesan automáticamente.

Todo el mundo habla de la Industria 4.0 y todos quieren subirse al carro. Pero la cuestión de la seguridad puede quedar rápidamente relegada a un segundo plano.

En seguridad informática, también es cada vez más importante comprobar si los empleados utilizan realmente sus autorizaciones de forma adecuada y no hacen un uso indebido de ellas.

La Oficina Federal Alemana de Seguridad de la Información (BSI) aborda el tema de la función SAP y los conceptos de autorización en su catálogo de protección básica de TI, cuya lectura no puedo sino recomendar a todos los responsables de TI.

Aquí se señala explícitamente la necesidad de una asignación especialmente cuidadosa de las autorizaciones críticas y de una revisión periódica del concepto existente de funciones y autorizaciones.

Pero, ¿cómo puede aplicarse esto de la forma más sencilla posible en el día a día de la empresa? ¿Y qué ocurre con las combinaciones de autorizaciones críticas, es decir, dos autorizaciones que sólo se convierten en críticas cuando se asignan juntas?

Lo más importante en este caso es un concepto de autorización bien pensado. Todo director general debe asegurarse desde el principio de que no surgen riesgos de la combinación de autorizaciones.

Las autorizaciones sensibles sólo deben concederse si son absolutamente necesarias. Los usuarios de SAP pueden seguir la guía de auditoría del GASD aquí. También es ventajoso disponer de un sistema de control interno (SCI).

Los cambios, por ejemplo, pueden documentarse automáticamente de forma completa y rastreable, siempre que el sistema de autorización de SAP se complete con funciones o herramientas de terceros proveedores.

Lo ideal sería poder simular los efectos de la concesión de nuevas autorizaciones antes de su puesta en marcha. Sólo así podrán reconocerse y eliminarse automáticamente y a tiempo los conflictos típicos.

Además, todas las funciones y autorizaciones pueden comprobarse de forma periódica o ad hoc sin mucho esfuerzo. Y una cosa más: su empresa se beneficiará adicionalmente si también reevalúa las consecuencias de las salidas de datos al implementar nuevos requisitos de cumplimiento para su gestión de autorizaciones.

Porque provocan costes cada vez más elevados, como demuestra el 11º estudio actual sobre la violación de datos realizado por Ponemon. Según este estudio, el coste total del uso indebido de datos en empresas de doce países industrializados ha pasado de 3,8 a 4 millones de dólares.

Si el concepto de autorización de su empresa puede resistir estas numerosas amenazas es algo que debería analizar detenidamente cuanto antes.

avatar
Bernd Israel, Sivis

Bernd Israel, ex Director de Point of Business en T-Systems Suiza, es ahora Director General de Sivis.


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 24 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.