La plataforma global e independiente para la comunidad SAP.
La opinión de la comunidad SAP, Columna sobre seguridad informática, MAG 24-06

Por qué los sistemas SAP necesitan más ciberseguridad urgentemente

Los análisis de la ciberdelincuencia hacen saltar las alarmas, y öa situación de amenaza para los sistemas ERP se está intensificando. Según un estudio de Bitkom, el número de ciberataques a entornos SAP alcanzó un nuevo máximo en 2023.
Philipp Latini, Sivis
7 de junio de 2024
Contenido:
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Solo los incidentes de ransomware se han multiplicado por cinco desde 2021, y el aumento de los chats en la web oscura sobre vulnerabilidades de SAP es igualmente elevado. No es de extrañar, con más de 400.000 clientes que representan casi el 90% del volumen comercial mundial, los entornos SAP son un objetivo rentable para los exploits con motivaciones financieras. Aquí es donde se gestionan las "joyas de la corona" de los datos corporativos, incluidos los planes de diseño y las recetas, los resultados financieros confidenciales y las estrategias de fijación de precios, los datos de las tarjetas de crédito y los datos personales de recursos humanos. SAP lo sabe todo y, sin SAP, normalmente nada funciona. Independientemente de si los atacantes persiguen el robo de conocimientos especializados, la manipulación financiera, el comercio de datos robados o el cobro de rescates: Las fugas de seguridad en los sistemas SAP pueden afectar de lleno a las empresas. 

Sin embargo, el sistema SAP sigue siendo un punto ciego en el mapa de la seguridad informática de muchas empresas. Por qué se subestiman tanto los riesgos de la seguridad de los ERP?

Los ciberataques sólo afectan a los grandes. No. Según el estudio "Wirtschaftsschutz 2023" de la asociación digital Bitkom, alrededor de tres cuartas partes de las empresas alemanas fueron víctimas de la ciberdelincuencia el año pasado. Los atacantes se organizan en alianzas, despliegan sus "servicios" de forma más amplia y atacan sistemáticamente a las pequeñas y medianas empresas, con un alto grado de especialización y métodos refinados. Las tácticas delictivas se están profesionalizando cada vez más, lo que significa que se tarda una media de seis meses en descubrir y limpiar un incidente, tiempo suficiente para que los atacantes roben datos, manipulen sistemas y cubran sus huellas.

Basta con certificados y auditorías: No. Ni el certificado del auditor ni las auditorías de seguridad pueden identificar todas las vulnerabilidades y anticipar futuras lagunas de seguridad. Las nuevas normativas legales, como la próxima aplicación de la Directiva NIS2 a finales de 2024, contribuirán de forma importante a armonizar los niveles de seguridad a un alto nivel en toda la UE. Sin embargo, ni siquiera el cumplimiento de todas las obligaciones legales debe inducir a las empresas a una falsa sensación de seguridad. Los sistemas ERP son complejos y difíciles de proteger debido a su integración en un entorno informático en red: el número de posibles puertas de enlace aumenta con cada interfaz. El traslado de las cargas de trabajo de ERP a la nube también está redefiniendo las normas de seguridad. El hecho es que los ciberataques no pueden evitarse por completo. Es importante estar atento a las tendencias de la ciberdelincuencia, traducir las amenazas en conceptos de seguridad personalizados y garantizar un tiempo de respuesta rápido en caso de emergencia. 

Según el Data Breach Investigations Report, las personas con acceso a información privilegiada son responsables de alrededor de una quinta parte de todos los incidentes de seguridad, no siempre con intención delictiva, sino a menudo por negligencia y falta de concienciación sobre los riesgos. Con la democratización de la IA, este flanco será aún más vulnerable en los próximos años. Hoy en día, las herramientas de traducción de IA pueden localizar correos electrónicos de phishing en cuestión de segundos a nivel de hablante nativo, y los generadores de lenguaje asistidos por IA crean falsificaciones engañosamente reales para llamadas fraudulentas a CEO a partir de fragmentos de voz. 

Según una encuesta realizada entre la comunidad SAP, el 45% de las empresas alemanas no considera que sus sistemas SAP estén adecuadamente protegidos y sólo el 10% se siente muy bien preparado para seguir operativo en caso de ataque. Alrededor de una cuarta parte ni siquiera tiene en su agenda el tema de la seguridad informática. Sin embargo, una protección básica sólida requiere, sobre todo, el uso consecuente de los recursos tecnológicos disponibles desde hace tiempo.

Parches y actualizaciones inmediatos: una gestión de actualizaciones fiable es esencial para cerrar rápidamente las brechas de seguridad en los sistemas on-prem. SAP ha invertido en la facilidad de uso de la arquitectura del sistema para que los parches de seguridad de SAP S/4 Hana puedan desplegarse mucho más fácilmente.

Haga clic aquí para acceder a la entrada asociada:

avatar
Philipp Latini, Sivis

Philipp Latini es director general de Sivis. La empresa está especializada en software para la gestión de autorizaciones, la administración de usuarios y el cumplimiento de normativas. Antes de que Philipp Latini asumiera el cargo de director general en 2020, este empresario de sistemas informáticos trabajó inicialmente como director de ventas y responsable de consultoría en Sivis.


Todos los artículos del autor

Escriba un comentario

Retraso en la transformación en la comunidad SAP

Núcleo limpio

Soluciones sostenibles para necesidades individuales: Tomar la iniciativa del mañana a través de las innovaciones de hoy

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.