La plataforma global e independiente para la comunidad SAP.
Gestión informática, MAG 16-04

SAP y seguridad: ¿dos mundos separados?

Las empresas conceden la máxima prioridad a la seguridad informática, pero el mundo SAP suele quedar fuera de la ecuación. Este enfoque ya no responde a las exigencias actuales.
Kai Grunwitz, NTT Security
Patrick Schraut, NTT Com Secutity
2 de mayo de 2016
Contenido:
2016
avatar
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Sólo una estrategia de ciberdefensa integrada que tenga en cuenta toda la TI puede eliminar las posibles vulnerabilidades y proteger de forma fiable contra las amenazas.

La creciente amenaza generalizada a la seguridad informática ha llevado a muchas empresas a iniciar proyectos de seguridad, pero excluyendo el mundo SAP. Esto ya no es aceptable hoy en día, sobre todo porque los datos SAP suelen ser críticos para la empresa.

Pero, ¿a qué se debe la insuficiente consideración del tema de la seguridad en SAP? Hay varias razones para ello. Por ejemplo, el tema de la seguridad SAP no suele figurar en la agenda informática del CISO porque se considera demasiado complejo y muy especializado.

Así lo demuestra la experiencia de NTT Com Security en numerosos proyectos para clientes en los ámbitos de la seguridad de la información y la gestión de riesgos. Además, los departamentos SAP suelen ser unidades autónomas que quieren mantener su independencia y a veces se muestran reacios a dejarse influir por el resto de TI.

Además, los departamentos de TI de SAP carecen a menudo de los conocimientos de seguridad necesarios en todos los ámbitos. SAP ha lanzado recientemente al mercado una serie de productos de seguridad, como SAP Single Sign-On para el acceso seguro a sistemas SAP y ajenos a SAP o SAP Identity Management para la administración eficiente de usuarios, SAP Access Control para la asignación de autorizaciones conforme a las normas y la legislación o Code Vulnerability Analyzer para la comprobación automática y manual del código fuente.

SAP ha desarrollado las soluciones SAP Enterprise Threat Detection y SAP Fraud Management para la identificación en tiempo real de ataques e intentos de fraude. Sin embargo, la mera disponibilidad de estas herramientas no significa que se utilicen de forma generalizada:

Por ejemplo, SAP Enterprise Threat Detection, que permite evaluar y analizar los eventos de seguridad relevantes para la seguridad en todo el entorno del sistema SAP y que también se diseñó para conectarse a los sistemas SIEM tradicionales, todavía no ha sido utilizado por muchas empresas.

Pero incluso si se utilizan herramientas de seguridad SAP aisladas por parte de la empresa, sigue existiendo un problema: Sólo una solución de seguridad totalmente integrada ofrece una protección fiable; con un mosaico de soluciones y aplicaciones aisladas, los sistemas siguen siendo vulnerables.

Pero en muchas empresas siguen existiendo silos de seguridad ineficaces. Así se desprende de un reciente estudio de Dell en el que participaron 175 empresas alemanas. Una de las principales conclusiones fue que la seguridad informática suele organizarse en función de las aplicaciones y es responsabilidad de distintos departamentos de la empresa.

Sólo el 23% de las empresas encuestadas cuenta con un departamento central de seguridad informática que incluya también el entorno distribuido de aplicaciones y SAP.

Mundos separados y brechas de seguridad

El hecho de que a menudo dominen dos mundos ya resulta evidente en un tema tan sencillo como la administración de usuarios. Aquí, el statu quo en muchas empresas sigue siendo que el entorno SAP está separado del resto de TI y los conceptos de autorización no se aplican en toda la empresa.

Hoy en día, en casi todas las empresas, el servicio de directorio Microsoft Active Directory (AD) es un elemento central de toda la infraestructura. El AD asume diversas tareas que van mucho más allá de la mera administración de cuentas de usuario e incluyen también, por ejemplo, la autenticación y autorización de sistemas no basados en Windows, como servidores Linux o aplicaciones. Sorprendentemente, sin embargo, a menudo se deja de lado un área: la infraestructura SAP.

Sin embargo, la integración es sólo una cara de la moneda, igual de importante es la eliminación de las lagunas de seguridad existentes, y éstas son habituales en el mundo SAP. Por ejemplo, falta la activación del cifrado o la separación de las autorizaciones administrativas.

A menudo no hay segmentación de frontend y backend y no se aplica una estrategia de gestión de parches. Otro problema central es que, especialmente en el entorno SAP, los conceptos de autorización de acceso y los procedimientos de gestión de cambios a menudo sólo se aplican desde la perspectiva del usuario, y no desde la perspectiva de la seguridad.

Los retos son, por tanto, evidentes, y la propia SAP también está abordando cada vez más la cuestión de la seguridad en el marco de varias iniciativas. El experto en seguridad NTT Com Security está invirtiendo en cooperación con SAP para poder ofrecer a los clientes conceptos de soluciones integrales.

Mientras que SAP se siente como en casa en SAP IT, NTT Com Security tiene tanto conocimientos de SAP como acceso al departamento general de IT, que es responsable de la seguridad de IT en toda la empresa. De este modo, NTT Com Security puede asumir un "papel de mediador", por así decirlo, en cuestiones de seguridad de datos críticos para la empresa.

La ciberamenaza para las aplicaciones SAP sólo puede evitarse de forma fiable integrándola en la estrategia global de seguridad de una empresa. Esto significa que es de importancia elemental que el mundo SAP también se tenga en cuenta en el contexto de los proyectos de seguridad y en la aplicación de una estrategia holística de ciberdefensa.

Al aplicar una estrategia de este tipo, debe optarse por un enfoque secuencial. El punto de partida es el análisis y el perfil de riesgo del entorno informático, incluido el entorno SAP; la implantación de la herramienta es sólo el final de la cadena de procesos.

La evaluación de riesgos (risk insight) implica la clasificación de todos los procesos y datos que merece la pena proteger, naturalmente también dentro del mundo SAP. Todas las demás medidas en el marco de una estrategia de ciberdefensa integral deben basarse en ella. Los elementos centrales son los cuatro pilares de prevención, detección, defensa y reacción.

En el ámbito de la prevención, la atención se centra en la gestión de infraestructuras y redes por parte de la empresa, con medidas de seguridad clásicas como la protección perimetral con pasarelas de correo electrónico que incluyan filtros de spam y malware, cortafuegos de nueva generación, sistemas VPN o soluciones de sandboxing dinámico.

Por otro lado, también hay que prestar más atención a las aplicaciones empresariales críticas para la empresa (SAP) y a los propios datos, y protegerlos en consecuencia.

El siguiente paso es la detección, es decir, un análisis exhaustivo de la seguridad con la evaluación de datos en tiempo real y una supervisión proactiva. Una supervisión eficaz no se limita a los registros y avisos del sistema, sino que también incluye, por ejemplo, análisis del comportamiento del entorno informático de una empresa, que pueden utilizarse para descubrir procesos inusuales.

Un componente indispensable de una solución de seguridad global es la capacidad de detectar las amenazas en una fase temprana, es decir, el uso de sistemas de detección precoz. Es evidente que una empresa difícilmente puede realizar una protección integral contra los ciberataques de forma totalmente autónoma, ya que, por un lado, la situación de las amenazas es demasiado heterogénea y, sobre todo, demasiado dinámica y, por otro, los costes son demasiado elevados.

Aquí es donde entran en juego los SOC (Centros de Operaciones de Seguridad) de los proveedores de Servicios de Seguridad Gestionados (MSS) como centros de defensa proactiva para las empresas.

Por último, pero no por ello menos importante, una empresa también debe estar preparada para una emergencia, lo que se denomina un incidente, porque es probable que la protección al 100% siga siendo una utopía. Esto significa que debe establecerse un procedimiento de respuesta a incidentes, al que pueda recurrirse en caso de peligro y que evite una salida involuntaria de datos.

Una cosa debe quedar clara: Los hackers no distinguen entre aplicaciones SAP y TI en general. Lo importante a la hora de implementar una estrategia de ciberdefensa es, por tanto, el enfoque holístico que integra la supervisión y la seguridad de la infraestructura SAP como un importante factor de éxito. Sólo con un concepto tan amplio puede un usuario de SAP alcanzar hoy en día la máxima seguridad informática y de la información.

avatar
Kai Grunwitz, NTT Security

Kai Grunwitz es Vicepresidente Senior para Europa Central de NTT Security


Todos los artículos del autor
avatar
Patrick Schraut, NTT Com Secutity

Patrick Schraut es Director de Consultoría y GRC en NTT Com Security.


Todos los artículos del autor

Escriba un comentario

El Grupo Hackett ha premiado a Esker en el área de C2C Receivables

Rackspace Technology lanza UK Sovereign Services

Instituto August-Wilhelm Scheer y BAD Gesundheitsvorsorge und Sicherheitstechnik: el futuro de la asistencia sanitaria

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Toda la información sobre el evento puede encontrarse aquí:

Cumbre de Centro de Competencia SAP 2024

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entrada normal:

€ 590 sin IVA

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.