La plataforma global e independiente para la comunidad SAP.
La opinión de la comunidad SAP, Columna sobre seguridad informática, MAG 17-07

Con la Industria 4.0, la seguridad se queda rápidamente en el camino

Hace unos años, comprobé el concepto de autorización de un fabricante de plantas con varios miles de empleados, ¿y qué encontré? Los compradores de una planta podían desencadenar ejecuciones de pago en las demás plantas de la empresa.
Bernd Israel, Sivis
13 julio 2017
Contenido:
It-Seguridad
avatar
Este texto ha sido traducido automáticamente del alemán al español.

En el caso del fabricante de plantas, esta combinación de autorizaciones se produjo a través de un concepto de autorización históricamente cultivado en el que las funciones siempre se heredaban y se enriquecían con transacciones adicionales.

Desgraciadamente, este planteamiento sigue siendo práctica común en muchas empresas hoy en día y facilita que los empleados se enriquezcan a costa de su propia empresa.

Una buena gestión de las autorizaciones SAP contrarresta esta situación. Reduce el riesgo de acceso no autorizado a datos críticos de los sistemas SAP.

Un concepto de autorización actualizado es esencial para la protección de datos en empresas y organizaciones. Demuestra quién tiene acceso a qué datos en la empresa.

Un concepto de autorización sofisticado también tiene en cuenta las sustituciones de personal en caso de enfermedad y baja. También tiene en cuenta el traslado de personal a otros departamentos o su salida. Los nuevos usuarios se integran automáticamente en el concepto de autorización.

Pero hay otra novedad que me preocupa mucho más. Las nuevas tendencias informáticas, como los dispositivos móviles y las aplicaciones relacionadas, están desbaratando la cuestión de la seguridad en las empresas, desde la base.

Aquí aludo sobre todo a la conexión directa en red a nivel de dispositivos a través de IoT e Industria 4.0. Hay que imaginárselo: De repente, incluso los dispositivos tienen derechos de acceso a los datos personales y los procesan automáticamente.

Todo el mundo habla de la Industria 4.0 y todos quieren subirse al carro. Pero la cuestión de la seguridad puede quedar rápidamente relegada a un segundo plano.

En seguridad informática, también es cada vez más importante comprobar si los empleados utilizan realmente sus autorizaciones de forma adecuada y no hacen un uso indebido de ellas.

La Oficina Federal Alemana de Seguridad de la Información (BSI) aborda el tema de la función SAP y los conceptos de autorización en su catálogo de protección básica de TI, cuya lectura no puedo sino recomendar a todos los responsables de TI.

Aquí se señala explícitamente la necesidad de una asignación especialmente cuidadosa de las autorizaciones críticas y de una revisión periódica del concepto existente de funciones y autorizaciones.

Pero, ¿cómo puede aplicarse esto de la forma más sencilla posible en el día a día de la empresa? ¿Y qué ocurre con las combinaciones de autorizaciones críticas, es decir, dos autorizaciones que sólo se convierten en críticas cuando se asignan juntas?

Lo más importante en este caso es un concepto de autorización bien pensado. Todo director general debe asegurarse desde el principio de que no surgen riesgos de la combinación de autorizaciones.

Las autorizaciones sensibles sólo deben concederse si son absolutamente necesarias. Los usuarios de SAP pueden seguir la guía de auditoría del GASD aquí. También es ventajoso disponer de un sistema de control interno (SCI).

Los cambios, por ejemplo, pueden documentarse automáticamente de forma completa y rastreable, siempre que el sistema de autorización de SAP se complete con funciones o herramientas de terceros proveedores.

Lo ideal sería poder simular los efectos de la concesión de nuevas autorizaciones antes de su puesta en marcha. Sólo así podrán reconocerse y eliminarse automáticamente y a tiempo los conflictos típicos.

Además, todas las funciones y autorizaciones pueden comprobarse de forma periódica o ad hoc sin mucho esfuerzo. Y una cosa más: su empresa se beneficiará adicionalmente si también reevalúa las consecuencias de las salidas de datos al implementar nuevos requisitos de cumplimiento para su gestión de autorizaciones.

Porque provocan costes cada vez más elevados, como demuestra el 11º estudio actual sobre la violación de datos realizado por Ponemon. Según este estudio, el coste total del uso indebido de datos en empresas de doce países industrializados ha pasado de 3,8 a 4 millones de dólares.

Si el concepto de autorización de su empresa puede resistir estas numerosas amenazas es algo que debería analizar detenidamente cuanto antes.

avatar
Bernd Israel, Sivis

Bernd Israel, ex Director de Point of Business en T-Systems Suiza, es ahora Director General de Sivis.


Todos los artículos del autor

Escriba un comentario

El Grupo Hackett ha premiado a Esker en el área de C2C Receivables

Rackspace Technology lanza UK Sovereign Services

Instituto August-Wilhelm Scheer y BAD Gesundheitsvorsorge und Sicherheitstechnik: el futuro de la asistencia sanitaria

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Toda la información sobre el evento puede encontrarse aquí:

Cumbre de Centro de Competencia SAP 2024

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entrada normal:

€ 590 sin IVA

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.