Los conceptos de autorización de SAP están sujetos a cambios constantes. Precisamente por eso, autorizaciones como "SAP_ALL" o la protección de los usuarios estándar de SAP, pero también los riesgos de SoD (Segregación de Funciones) son comprobados de nuevo por los auditores cada año. La lista de medidas necesarias es larga, desde la aplicación de parches de seguridad hasta el control y la reducción de las autorizaciones críticas.
A menudo, se recurre a especialistas en seguridad como Sast Solutions con poca antelación para garantizar que la lista de hallazgos de la auditoría del auditor del año anterior se cumpla.
se ha procesado a fondo y que no se han añadido riesgos graves desde la depuración, ya sea la depuración y sustitución, la eliminación de documentos de modificación o el inicio de todos los informes para autorizaciones críticas individuales. Una de las razones de estas órdenes ad hoc es que, por falta de recursos, no se revisaron entretanto las limpiezas posteriores a la auditoría anterior.
Si uno se limita a este procedimiento reactivo, el ciclo anual está programado. Si todos los hallazgos antiguos se eliminan o mitigan justo antes de la siguiente auditoría, el auditor no sólo los comprobará, sino que, por supuesto, realizará nuevas auditorías, elaborará una nueva lista de hallazgos... y el juego vuelve a empezar.
Por tanto, para evitar daños a corto plazo es necesaria una actuación puntual, pero no prometedora para el futuro. El estado de cumplimiento del sistema vuelve a deteriorarse inmediatamente debido a la asignación de nuevas autorizaciones, y no se evita de forma proactiva que se produzca un retroceso. A menudo, los nuevos riesgos no se reconocen en el transcurso del año, sino sólo cuando está prevista la siguiente auditoría. Por lo tanto, no hay ni un trabajo continuo para mejorar la situación ni un control permanente de los riesgos. Esto se debe a que cada auditoría es sólo una instantánea. Una lista de hallazgos sólo muestra una pequeña parte de los riesgos de un sistema SAP.
La solución a este problema es relativamente sencilla: no espere a la próxima auditoría, sino tome conciencia de sus propias vulnerabilidades ahora. Sólo así podrá garantizar la seguridad de los sistemas SAP durante todo el año y mantener la capacidad de reaccionar rápidamente en caso de anomalías. La forma más sencilla y completa de hacerlo es utilizar una solución holística para la detección de amenazas SAP y el gobierno de accesos, como Sast Suite. Ésta no sólo se encarga de la supervisión exhaustiva en tiempo real, sino también de la integración de comprobaciones cíclicas hasta la creación de un plan de auditoría con su propia política para la lista de hallazgos del auditor.
