Política de seguridad y soluciones eficaces
La propagación de la vulnerabilidad Invoke servlet en implementaciones SAP NetWeaver no actualizadas o mal configuradas muestra actualmente los déficits en la seguridad de las implementaciones SAP.
Aunque SAP proporcionó un parche hace seis años, todavía hay pruebas de un aprovechamiento de la vulnerabilidad en 36 empresas de Estados Unidos, Gran Bretaña, Alemania, China, India, Japón y Corea del Sur en la primavera de 2016.
13 de las empresas afectadas generan más de 13.000 millones de dólares de ingresos al año. La vulnerabilidad puede permitir el control total no autorizado de los sistemas SAP afectados.
Aunque no debería faltar voluntad para mejorar la seguridad de SAP, parece que faltan recursos. Se necesita un remedio: un componente clave son las soluciones sensibles al contexto para inventariar y supervisar las vulnerabilidades, así como para reconocer y reaccionar inmediatamente ante eventos y accesos inusuales.
Permiten y exigen un amplio proceso de seguridad para evitar tales percances.
Un plan de cinco puntos ayuda a establecer y aplicar el proceso de seguridad SAP en toda la empresa:
- Desglose de la topología SAP: El análisis de la infraestructura SAP proporciona una visión general de todos los sistemas SAP, incluidos los sistemas de desarrollo y gestión de calidad. Una topologización automatizada y continua muestra qué procesos empresariales soporta un sistema y qué información almacena y procesa cada sistema. Sólo así pueden evaluarse los efectos de los puntos débiles.
- Identificar y evaluar los riesgos: El siguiente paso consiste en inventariar y evaluar los riesgos derivados de una mala configuración en la aplicación. La evaluación se realiza a partir de los requisitos del sector o las políticas de seguridad corporativas. En el siguiente paso se pueden priorizar las medidas defensivas.
- Las partes interesadas a la mesa: Varias partes interesadas suelen ser responsables de una infraestructura SAP. Sin embargo, el diálogo es difícil. Los departamentos SAP, los equipos de seguridad de la información, los CISO y los CDO no suelen coordinarse. Los departamentos se centran en la productividad de los sistemas SAP. Es posible que los CDO no vean que la seguridad de SAP debe formar parte de la estrategia global de seguridad de TI. Los administradores de seguridad de TI a menudo carecen de una visión general de las aplicaciones SAP y su intercambio de datos. El escaso intercambio de información y una distribución poco clara de las responsabilidades son la causa de las deficiencias en la seguridad de SAP.El inventario y la evaluación de los riesgos y vulnerabilidades crean la base para un debate con el que todas las partes implicadas pueden reconocer los problemas y las responsabilidades pueden ahora distribuirse de forma clara y justa.
- Definir el plan de acción: Un plan de acción conjunto integra la seguridad SAP en las iniciativas de seguridad existentes y también utiliza el marco de seguridad informática existente. Un enfoque flexible que combine medidas de prevención, detección y defensa frente a las amenazas es una buena forma de hacerlo. Entre los buenos criterios para un plan de seguridad de este tipo se encuentran los criterios CIS (Critical Security Controls) de sans.org. Además, las empresas deben implantar servicios que proporcionen siempre información sobre los riesgos actuales de seguridad informática, tanto generales como específicos de SAP. Una parte importante del plan de acción consiste en actualizar los sistemas SAP con los parches del fabricante.
- Medir los progresos: El CISO define los objetivos comunes de la política de seguridad SAP propia de la empresa y mide los progresos gracias a evaluaciones continuas de la situación de la seguridad. Las tecnologías modernas proporcionan informes delta que documentan los cambios en la configuración de seguridad.
La seguridad de SAP se hace factible en cuanto las soluciones técnicas permiten aplicar una estrategia de seguridad, que en el siguiente paso pasa a formar parte de la seguridad informática general de una empresa.
Actualmente, las empresas tienen mucho por hacer, empezando por la discutida o inexistente asignación de responsabilidades: los departamentos SAP, los equipos de seguridad de la información, los CISO y los CDO no suelen trabajar coordinados entre sí.
Los departamentos se centran más en la productividad de los sistemas SAP. El nivel C a veces no ve que la seguridad de SAP debe formar parte de la estrategia global de seguridad de TI.
Los administradores de seguridad informática carecen a menudo de una visión de conjunto de las aplicaciones empresariales y del intercambio de datos. Un reparto poco claro de responsabilidades y el escaso intercambio de información suelen ser la causa de las deficiencias en la seguridad de SAP.
Por lo tanto, una política de seguridad SAP coherente empieza por crear una base de debate mediante la evaluación y valoración continuas de los riesgos para todas las partes interesadas. Pero estos resultados también deben integrarse en la política general de seguridad informática.