Prevenir eficazmente el robo de datos


En general, no existe "una" solución que pueda garantizar por sí sola la seguridad completa de todo el sistema SAP. Oracle ofrece naturalmente soluciones en el ámbito de las bases de datos (además de las funcionalidades ya implementadas por SAP a nivel de las aplicaciones), pero también soluciones a nivel de la infraestructura - es decir, por debajo de las aplicaciones y las bases de datos - así como a nivel de la superestructura - a través de las aplicaciones y las bases de datos. En el ámbito de la infraestructura, se trata en particular de sistemas operativos seguros.
En el ámbito de la superestructura, se trata de soluciones para la gestión de identidades y accesos que establecen una capa sobre todas las aplicaciones, incluida SAP.
Sistema operativo reforzado
Con Oracle Solaris y Oracle Linux se dispone de dos sistemas operativos adecuados para el funcionamiento de SAP (servidor de aplicaciones y base de datos).
Ambos ofrecen una amplia gama de herramientas y tecnologías para proteger los entornos informáticos y reducir las amenazas, incluido el control de cortafuegos y las políticas de seguridad para la gestión de accesos.
Utilizando Oracle Solaris como ejemplo, a continuación se presentan algunas estrategias y características que conforman un sistema operativo seguro.
Con Oracle Solaris, no sólo se pueden diferenciar con precisión los derechos de los usuarios y las aplicaciones, sino también los de los administradores. Así se evita que un solo administrador paralice todo el sistema operativo.
Además, el sistema operativo proporciona autenticación segura de todos los sujetos activos y cifra la comunicación entre los puntos finales. Oracle Solaris también puede integrarse perfectamente con otras arquitecturas de seguridad.
El sistema también comprueba de forma independiente su estado de seguridad y dispone de virtualización integrada con Oracle Solaris Zones.
Buena confianza, mejor control
La gestión de identidades y accesos es ahora mucho más que simplemente garantizar que los empleados autorizados tengan acceso a sus aplicaciones.
Se requiere un conocimiento exhaustivo de quién tiene acceso físico y lógico a las instalaciones, las redes y la información. Estas son solo algunas de las tendencias informáticas actuales: sistemas operativos mixtos y virtualizados, instalaciones de aplicaciones y bases de datos con diferentes administraciones de usuarios, arquitecturas orientadas a los servicios, computación en la nube, informática móvil (incluido BYOD), gobernanza informática, directrices de cumplimiento y, por último, pero no por ello menos importante, Internet de los objetos.
Todo ello debe combinarse coherentemente con un enfoque de seguridad para el sistema SAP, conservando al mismo tiempo la flexibilidad para integrar plataformas adicionales.
Suite para la gestión de identidades en SAP
Identity Governance Suite de Oracle, por ejemplo, funciona a la perfección con la pila SAP GRC. Esto garantiza el cumplimiento de las leyes según las cuales deben clasificarse los datos sensibles de SAP.
Al mismo tiempo, garantiza que no haya amenazas de derechos caducados y cuentas no autorizadas, y que las actividades de los administradores queden registradas.
El Oracle Identity Manager incluido en el paquete ayuda a las empresas a gestionar identidades y asignar derechos a los usuarios. Dispone de conectores especiales con SAP ERP (Abap y Java), admite escenarios especiales de SAP HCM y se integra con SAP BusinessObjects Access Control (V 5.3 y V10) para la validación específica de SAP de la segregación de funciones. Al mismo tiempo, utiliza SAP Org Structures como base para desarrollar un modelo de funciones empresariales para toda la empresa.
Los derechos de acceso se configuran a través de Oracle Access Management Suite. Cumple todos los requisitos, incluidas las modernas funciones para conceder acceso desde dispositivos móviles, la gestión de usuarios a través de redes sociales y la integración de aplicaciones en la nube y locales.
Especialmente en el entorno SAP, Access Management Suite de Oracle puede utilizarse como una solución WebSSO completa para portales empresariales SAP NetWeaver, que también funciona junto con aplicaciones de terceros.
Mecanismos de protección de la base de datos
El acceso y los controles de acceso también son cada vez más importantes porque la consolidación de los centros de datos y los sistemas hasta el nivel de base de datos ha aumentado enormemente las consecuencias de un único robo de datos.
Además, la externalización y el alojamiento externo dan cada vez más acceso a las bases de datos a personas poco o nada implicadas en una empresa.
Con Oracle Advanced Security y Oracle Database Vault como complementos del servidor de bases de datos, el riesgo de robo de datos puede minimizarse considerablemente. Ambos pueden utilizarse también en entornos SAP sin ningún problema.
Sus mecanismos de protección surten efecto cuando los delincuentes intentan acceder directamente a la base de datos saltándose el nivel de aplicación.
Los delincuentes podrían, por ejemplo, intentar obtener copias de los archivos de la base de datos, como una copia de seguridad, y leer su contenido. En este caso, cifrar los datos es una solución.
El paquete adicional Oracle Advanced Security incluye las funciones Transparent Data Encryption y Backup Set Encryption, que pueden utilizarse en entornos SAP desde la versión 11g de la base de datos.
Gestión de privilegios contra el peligro interno
Cuantos más derechos tenga un usuario, mayor será su peligro potencial. En principio, se distingue entre privilegios de sistema y de objeto para que un administrador pueda gestionar los objetos de la base de datos, pero no acceder a los datos que contienen.
Sin embargo, según el concepto tradicional de seguridad, un número suficiente de privilegios de sistema conlleva privilegios de objeto implícitos. Por otra parte, existe el riesgo de que la asignación de autorizaciones deje de ser controlable porque los administradores pueden ayudarse a sí mismos.
Con Oracle Database Vault es posible una nueva gestión de privilegios que realiza una separación mucho más estricta entre privilegios de sistema y de objeto y permite establecer reglas de acceso diferenciadas que van más allá de la pura asignación objeto-usuario.
Así, los derechos de acceso pueden vincularse a direcciones IP, horarios o aplicaciones, o incluso aplicar el principio de doble control "obligando" a varios empleados a trabajar juntos.
En principio, Oracle Database Vault no es más que una "caja de herramientas" que los administradores de seguridad pueden utilizar para desarrollar conjuntos de reglas según los requisitos y directrices de su empresa. Para los clientes de SAP, sin embargo, Oracle ya proporciona una política por defecto que suele cubrir entre el 70% y el 90% de los requisitos.
Con las noticias que se repiten periódicamente sobre importantes robos de datos, siempre surge después la pregunta de si el robo de datos no podría haberse evitado.
Una cosa está clara: si se utilizan todos los componentes del sistema operativo relevantes para la seguridad, se implanta, se aplica y se mantiene una solución de gestión de identidades y accesos y también se instalan mecanismos de protección a nivel de base de datos, el robo de datos resulta bastante improbable.
La protección de las ventajas competitivas y de la propiedad intelectual debería merecer la pena para las empresas, por no hablar de la amenaza de pérdida de imagen.