Pensamiento de silo anticuado y falta de presupuestos
Con su ayuda y la digitalización de los procesos de la empresa, el objetivo ahora es generar valor añadido para el cliente y ventajas competitivas. En este sentido, la atención se centra en los nuevos modelos de negocio.
La seguridad de los datos está al final de la cola. En vista de la complejidad de los procesos informáticos, se considera un "obstáculo", ya que "no repercute positivamente en la creación de valor".
La mayoría de los responsables de la toma de decisiones sólo se dan cuenta de la verdadera importancia de la seguridad de los datos para el éxito de la empresa cuando ya se ha producido la pérdida de datos.
En estos casos, los directores de sistemas de información comprenden que necesitan reorganizar sus TI para seguir el ritmo de los rápidos cambios tecnológicos y, al mismo tiempo, garantizar la seguridad de los datos.
Pero cuidado: los procesos digitalizados de las empresas no conocen fronteras de sistemas y prosperan gracias a un animado intercambio de datos entre aplicaciones empresariales de distintos fabricantes. A pesar de ello, los responsables de seguridad informática siguen centrándose en gran medida en la protección selectiva de silos de datos y aplicaciones individuales.
En consecuencia, y debido a la enorme complejidad de las funciones y privilegios de los usuarios, los proyectos de gestión de identidades que en realidad pretenden mejorar el control de acceso a sistemas y aplicaciones suelen estar condenados al fracaso incluso antes de iniciarse el proyecto.
Como consecuencia de esta falta de control, las organizaciones de TI suelen reaccionar restringiendo las libertades de los usuarios, con lo que fomentan inevitablemente la expansión de la TI en la sombra en la empresa.
Esto abre la puerta al uso indebido de los datos, pone en peligro la competitividad de la empresa y -en caso de pérdida de datos personales- da lugar a elevadas sanciones en virtud del GDPR.
Falta de recursos
Los clientes de SAP están ampliando actualmente la posición de la aplicación SAP como eje central de datos dentro de la arquitectura de TI, en particular mediante la migración a S/4 Hana como nueva plataforma de desarrollo.
Esto también aumenta el riesgo potencial de que los datos salgan del sistema SAP seguro de forma incontrolada. El concepto clásico de autorización de SAP basado en funciones alcanza aquí sus límites y los archivos confidenciales caen rápidamente en manos equivocadas.
No en vano, los sistemas SAP se están convirtiendo cada vez más en objetivo de los ciberdelincuentes. Aunque muchos departamentos especializados y administradores de SAP son conscientes de estos nuevos riesgos de seguridad, su eliminación sostenible fracasa a menudo por falta de presupuesto y recursos:
Los CISO (Chief Information Security Officers), que son los verdaderos responsables del tema, no suelen disponer de recursos propios y apenas reciben apoyo de las operaciones operativas de TI, ya que sus empleados ya están ocupados con otros proyectos.
Aunque los directores de sistemas de información siguen confiando en sus especialistas en este punto y, por tanto, tienen una sensación de seguridad, en caso de una filtración de datos que se haga pública, el problema acaba en las mesas de los directores generales, que son los responsables últimos en tal caso.
Conceptos novedosos
Para poder proteger eficazmente los datos de SAP en el mundo digitalizado, se necesitan conceptos de seguridad informática nuevos y dinámicos que se basen en el concepto clásico de autorización de SAP y que, además de las funciones de los usuarios, también utilicen los requisitos de protección de datos para la seguridad de los datos entre plataformas.
Los responsables de SAP tienen que pensar más allá de los límites del sistema SAP y controlar y proteger todas las exportaciones, independientemente de que hayan sido provocadas por usuarios o por transferencias de datos en segundo plano.
Los propios datos deben ocupar un lugar central, tanto en términos de seguridad como de protección de datos. Es la única manera de lograr un alto nivel de seguridad sin restringir la libertad de los usuarios.
