La plataforma global e independiente para la comunidad SAP.
Gestión informática, Mag 22-12

Enmascaramiento a medida

Desde información personal protegida hasta información financiera privilegiada: Las aplicaciones SAP contienen grandes cantidades de datos sensibles. Éstos siempre conllevan riesgos que las empresas deben abordar.
Ralf Kempf, Pathlock
19 de enero de 2023
Contenido:
avatar
Este texto ha sido traducido automáticamente del alemán al español.

El enmascaramiento de datos basado en atributos protege los datos ERP y reduce los riesgos de cumplimiento de la normativa

En SAP ERP, no existen funciones de enmascaramiento estándar para una anonimización precisa en las vistas. Por lo tanto, la posible filtración de datos sin obstáculos presenta una enorme superficie de ataque. Aunque existen complementos y soluciones de SAP y de otros proveedores, siguen existiendo retos importantes. Aquí es donde entra en juego el enmascaramiento de datos basado en atributos.

Especialmente en el curso de la progresiva internacionalización y sobre todo desde que Corona y los frecuentes home offices, los datos relevantes para el proceso pero sensibles corren cada vez más peligro de ser vistos por observadores externos o internos cuya visión no es necesaria ni deseada en la situación o en general. Tres ejemplos: Si un empleado del departamento de RR.HH. trabaja desde el extranjero y mantiene datos maestros, sólo deben ser visibles los campos absolutamente necesarios para que nadie externo acceda accidentalmente a datos sensibles. Si un comercial trabaja con datos maestros para crear ofertas, debe poder encontrar el producto adecuado en la ficha maestra, ver la unidad de embalaje correcta, el envase, pero no conocer todos los precios de compra. Un envasador debe saber, por supuesto, a partir del número maestro de material qué envase debe coger, pero no necesita saber en détail cuál es el contenido.

El enmascaramiento de datos no consiste en reducir el uso indebido (fraude) de los datos personales, sino en la pura anonimización y seudonimización de datos personales y direcciones, pero es más amplio. En última instancia, todos los tipos de datos pueden enmascararse. El objetivo del enmascaramiento de datos originales es la llamada prevención de pérdida de datos, para resolver el problema del robo de datos, el uso indebido de datos u otras formas de delito de datos cambiando las vistas de la propia base de datos: Básicamente, se trata de proteger datos que necesariamente están ahí pero que no todo el mundo debería ver, de limitar las vistas a la información relevante en cada situación. Esto sigue planteando algunos problemas para la mayoría de las soluciones de enmascaramiento de datos de SAP y de terceros proveedores, ya que funcionan únicamente a nivel de autorizaciones. Sin embargo, las políticas de enmascaramiento estático no tienen en cuenta el contexto del riesgo de acceso y obligan a un compromiso entre la seguridad de los datos y la accesibilidad.

Los usuarios con privilegios pueden acceder a campos de datos sensibles aunque esto no sea necesario o deseado en un contexto específico. Los complementos de enmascaramiento de datos también requieren que las personalizaciones se repliquen en cada campo de la aplicación, lo que da lugar a una solución ad hoc que no es escalable. A diferencia de estas soluciones de enmascaramiento estándar, el enfoque de Pathlock centraliza la aplicación del enmascaramiento de datos en SAP en un único conjunto de reglas para definir y enmascarar datos en toda la aplicación. Y, sin necesidad de personalizar aún más SAP para su aplicación, emplea además políticas dinámicas que incorporan el contexto de riesgo para proteger los datos sensibles de forma más específica.

Atributos libremente configurables

Una función de enmascaramiento basada en atributos significa, por tanto, un control preciso de la información que se enmascara para un usuario concreto en una situación concreta. Esto es especialmente importante cuando una empresa multinacional quiere evitar vistas abusivas. Así, los datos se enmascaran para accesos desde países que no pertenecen a las ubicaciones de la empresa, para accesos que se originan en estaciones de trabajo remotas fuera de la red, direcciones IP o VPN desconocidas, o que tienen lugar fuera de los horarios comerciales o plausibles respectivos. De este modo, los contenidos realmente legibles y permitidos para la función no son visibles en función de las características de atributos libremente configurables como el usuario, la dirección IP, la hora, los países o las ubicaciones, el tipo de acceso -trabajo remoto desde el exterior o acceso dentro de la red- o el tipo de red (como VPN). Si se realiza un acceso con parámetros inusuales, tampoco se podrán leer datos innecesarios para el caso concreto, según el atributo.

Diferente criticidad

Esto no es factible únicamente mediante autorizaciones de usuarios y tiene en cuenta la diferente criticidad de los datos maestros, como la información sobre personal, ubicación, logística y proveedores o las listas de piezas, los precios de compra y las recetas, en función del sector: Datos de personal, localización y logística, así como información de proveedores o listas de piezas, precios de compra y recetas. El enmascaramiento de datos basado en atributos supone una mayor protección de los datos sensibles de la empresa mediante una restricción detallada de las vistas. La función de enmascaramiento dinámico basado en políticas de la solución de enmascaramiento centralizada y escalable proporciona así un control personalizable sobre qué campos de datos sensibles se enmascaran para un usuario específico en una situación específica, además de la protección de autorizaciones. Al implementar el enmascaramiento total o parcial de un conjunto de datos, la solución minimiza el riesgo de violación de datos y también cumple los requisitos de cifrado y anonimización, como los de las autoridades reguladoras. Al filtrar los datos sensibles sin necesidad de realizar más ajustes en SAP, no se requiere ningún esfuerzo de mantenimiento adicional.

Entrada de socios Pathlock
avatar
Ralf Kempf, Pathlock

Ralf Kempf es Vicepresidente de Arquitectura ABAP Pathlock Inc. en Pathlock


Todos los artículos del autor

Escriba un comentario

El Grupo Hackett ha premiado a Esker en el área de C2C Receivables

Rackspace Technology lanza UK Sovereign Services

Instituto August-Wilhelm Scheer y BAD Gesundheitsvorsorge und Sicherheitstechnik: el futuro de la asistencia sanitaria

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Toda la información sobre el evento puede encontrarse aquí:

Cumbre de Centro de Competencia SAP 2024

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entrada normal:

€ 590 sin IVA

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.