La plataforma global e independiente para la comunidad SAP.

Cómo proteger eficazmente los sistemas SAP

Muchas empresas crean, procesan y almacenan sus datos más valiosos dentro de SAP. Para proteger esos datos eficazmente, los clientes de SAP deben asumir que el atacante ya ha penetrado su sistema exitosamente, ya sea interna o externamente.
Stefan Dunsch, itesys
3. mayo 2024
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Según el Informe de Inversión 2024 del DSAG, la seguridad informática es claramente el tema general más importante para los clientes actuales de SAP, con un 88% de relevancia media y alta (véase el gráfico). Esto es bueno. Cada vez son más los que se dan cuenta de que los entornos SAP no solo están en peligro por amenazas externas, sino también internas.

Por ejemplo, un empleado recién contratado puede querer saber cuánto ganan sus compañeros. Para poder ver las listas de salarios, necesitaría autorización SAP_All o derechos de acceso a transacciones y derechos de lectura para tablas en SAP HCM. Aunque no tiene esto, sí tiene autorización de depuración debido a su función, lo que le permite realizar cambios tanto en el sistema de desarrollo SAP como en el de producción SAP. Y aquí es precisamente donde se abre una brecha de seguridad. Como parte de la depuración, manipula el sistema de producción de tal forma que se salta la comprobación de autorización y
puede - sin autorización - acceder a los datos salariales. En tal caso, ni siquiera las autorizaciones debidamente conservadas ofrecen protección suficiente.

Esto sigue siendo un escenario comparativamente inofensivo. ¿Y si un atacante utiliza métodos de ingeniería social para obtener los datos de acceso de un antiguo administrador cuya cuenta y autorizaciones aún no se han eliminado? Entonces, incluso la información más valiosa de una empresa, como sus datos de producción y desarrollo, deja de estar segura. Y ni siquiera si el equipo de seguridad ha hecho los deberes y ha implantado y configurado correctamente las soluciones de seguridad tradicionales, como antivirus, protección contra ransomware, cortafuegos, etc.

Por tanto, la pregunta clave es: ¿qué pueden y deben hacer los clientes actuales de SAP para colmar las lagunas en materia de seguridad?

Confía, ¡mira quién!

Como dice el refrán: la confianza puede ser peligrosa. Traducido al lenguaje informático, esto significa que el punto de partida adecuado para aumentar el nivel de seguridad en los entornos SAP es el enfoque de confianza cero. Si el atacante ya está siempre en el sistema, no se puede confiar en nada ni en nadie y hay que verificar todo y a todos. Esto se aplica incluso si los usuarios y dispositivos acceden a SAP a través de una red de confianza, como una LAN de la empresa, e incluso si han sido verificados previamente.

Para desarrollar un concepto de seguridad eficaz basado en el enfoque de confianza cero, los clientes actuales de SAP deben guiarse por varios principios:

  • Autenticidad: La autenticación segura debe aplicarse siempre y en todas partes.
  • Secreto: Toda comunicación debe ser segura.
  • Acceso de mínimo privilegio: Las autorizaciones sólo deben concederse en la medida en que los usuarios las necesiten para poder hacer exactamente lo que se supone que deben hacer, pero no más.
  • Seguridad: Por principio, se deniega el acceso a la red de la empresa a los dispositivos y usuarios desconocidos.
  • Responsabilidad: Debe quedar claro y verificarse en todo momento quién realiza cambios en la configuración y cuáles son; todo ello debe quedar registrado como corresponde.
  • Actualidad: Toda la pila informática, desde el hardware y el sistema operativo hasta las bases de datos y las aplicaciones SAP, debe mantenerse siempre al día; en consecuencia, los clientes de SAP deben evaluar e instalar periódicamente las actualizaciones de seguridad una vez anunciadas.
  • Sospecha: Cero confianza significa desconfianza permanente, por eso se comprueban periódicamente los derechos de los usuarios y sus funciones, transacciones, servicios, etc.
  • Coherencia: El nivel de seguridad debe seguir siendo al menos igual de alto con cada cambio, razón por la cual las medidas de seguridad son un componente obligatorio de todo cambio en el entorno SAP.
  • Aversión al riesgo: Los riesgos no sólo se registran y evalúan una vez, sino continuamente, al igual que los errores que inevitablemente se producen, para poder aprender de ellos y tomar las contramedidas adecuadas para contenerlos.
  • Resiliencia: El entorno informático debe ser capaz de compensar fallos parciales, por ejemplo segmentando la red y asegurándola con sus propias directrices y medidas, o practicando regularmente la recuperación de servicios.

Estos principios constituyen la base de cualquier arquitectura eficaz de confianza cero que los clientes actuales de SAP puedan implantar con la ayuda de herramientas y procesos adecuados, así como de socios.

Utilizar al máximo las herramientas SAP

Como norma general, los clientes actuales de SAP deberían utilizar de forma coherente las herramientas de seguridad proporcionadas por SAP y aprovechar todo su potencial. La solución SAP Identity Management (IdM) permite gestionar todas las identidades de usuarios SAP y sus autorizaciones de forma centralizada y a prueba de auditorías.

Un flujo de trabajo de aprobación basado en reglas y funciones controla la creación de cuentas de usuario y sus autorizaciones. A lo largo de todo el ciclo de vida del usuario, se garantiza que las identidades sólo puedan utilizar los sistemas y funciones que realmente necesitan. Sin embargo, el acceso completo sólo debe concederse en caso de emergencia y en ningún caso durante más tiempo del necesario. Además, es aconsejable configurar y gestionar el acceso centralizado a SAP mediante SAP Single Sign-On (SSO), que mejora la autenticación de los usuarios. Al mismo tiempo, SAP SSO garantiza una comunicación cifrada de extremo a extremo entre los clientes y los recursos SAP, mientras que SAP NetWeaver puede hacer que la transferencia de datos y la comunicación entre los sistemas SAP y otros componentes de la red sean a prueba de escuchas.

Además de las autorizaciones y la autenticación, los ajustes y parámetros de los sistemas SAP y la base de datos se consideran puntos débiles potenciales. Se puede comprobar si existen realmente utilizando la Validación de la Configuración y la Plantilla de Línea Base de Seguridad del popular y ampliamente utilizado SAP Solution Manager (SolMan), que también ofrece la opción de importar las Notas de Seguridad y los parches mensuales de SAP.

A nivel técnico, los puertos de red y los clientes a través de los cuales los usuarios finales acceden a las aplicaciones SAP, ya sea desde el escritorio de la oficina, desde la oficina en casa o cuando viajan a través de una tableta o un smartphone, son objetivos populares para los ataques. Además de la formación periódica y necesaria de los usuarios, los sistemas de detección y prevención de intrusiones (IDS/IPS) pueden ayudar a detectar y rechazar los intentos de ataque. Y, por supuesto, el equipo de seguridad debe supervisar la información sobre tales intentos y poner en marcha medidas para impedirlos permanentemente.

Por tanto, las herramientas SAP proporcionan una base sólida para la seguridad de los sistemas SAP, pero están llegando a sus límites ante los requisitos empresariales individuales y las ciberamenazas cada vez más sofisticadas.

Por desgracia, SolMan sólo puede superar parcialmente estas limitaciones con la ayuda de sus funciones de supervisión; después de todo, nunca se concibió como una solución de seguridad. Además, no ofrece supervisión en directo y limita la supervisión a las aplicaciones SAP, pero no vigila la infraestructura, las interfaces y los flujos de datos desde y hacia los sistemas periféricos.

Toma el control

Por tanto, lo ideal sería una solución de supervisión que lo controlara todo, desde la infraestructura y la red hasta SAP Basis, las aplicaciones y las bases de datos. Una solución que lea y proporcione toda la información relevante para la seguridad -incluida la procedente de soluciones de seguridad de terceros-, reconozca de forma independiente los incidentes relevantes para la seguridad a la manera de la gestión de incidentes, active alarmas por encima de determinados valores umbral e inicie inmediatamente medidas de seguridad como la retirada de autorizaciones, la interrupción del acceso o la finalización de transacciones. Una solución que emite las autorizaciones necesarias en caso de catástrofe y sólo entonces, y las vuelve a retirar rápidamente una vez resuelto el problema. Y todo ello, por supuesto, de forma automática y las 24 horas del día.

Evaluación de riesgos, gestión de identidades, gestión de autorizaciones en caso de desastre, inicio de sesión único, supervisión exhaustiva, gestión de parches e incidentes y, por último, todo el ramillete de productos de seguridad, desde cortafuegos hasta protección contra malware y ransomware, pasando por detección y prevención de intrusiones y mucho más: la lista de componentes centrales de seguridad es larga. Para gestionarlos y aplicarlos desde una ubicación central, es aconsejable crear un Centro de Operaciones de Seguridad (SOC) que funcione las 24 horas del día y en el que toda la información relevante para la seguridad fluya conjuntamente a través de una solución de supervisión central.

Esta solución y el centro de control deben proporcionar el mismo nivel de protección independientemente de la ubicación específica de despliegue del entorno SAP, ya sea en el propio centro de datos de la empresa, en la nube pública de SAP e hiperescaladores o con un socio de alojamiento.

Sin miedo a los servicios gestionados

Los clientes actuales de SAP no deben dudar en recurrir a los servicios gestionados si necesitan recursos adicionales. Un socio adecuado debe tener profundos conocimientos de SAP y de seguridad. También debe poder demostrar muchos años de experiencia práctica. Además, la oferta de servicios debe tener una estructura modular y complementar a la perfección los conocimientos y recursos existentes del cliente, en lugar de sustituirlos total o parcialmente. El acercamiento y el compromiso mutuo crean los requisitos previos para externalizar tareas y gestionar la calidad requerida de los servicios adquiridos a través de acuerdos.

Pero quizá lo más importante a la hora de elegir un socio de servicios sea su actitud hacia la seguridad y el cumplimiento de las normativas. Solo si ambas partes comparten el mismo entendimiento y asumen que el atacante siempre está ya en el sistema, los actuales clientes de SAP podrán alcanzar el objetivo de la resiliencia cibernética con la ayuda de su socio, contra todos los enemigos, extranjeros y nacionales.

El enemigo siempre está en el sistema

Por qué la protección frente a amenazas externas no es suficiente: en 2023 se notificaron más de 2.000 vulnerabilidades de seguridad en productos de software al mes, es decir, un 24% más que el año anterior, y el 84% de todos los correos electrónicos fraudulentos tenían como objetivo captar datos de acceso. Nada menos que el 15% de las vulnerabilidades conocidas se clasificaron como críticas y la IA generativa hace cada vez más difícil distinguir los correos electrónicos fraudulentos de los legítimos. Estas son las principales conclusiones del informe de BSI sobre seguridad en Alemania de noviembre del año pasado. Las vulnerabilidades de seguridad no son sólo el resultado de errores en el código del software. A menudo son consecuencia de la arquitectura del software. Además, en todos los entornos informáticos coexisten sistemas y aplicaciones modernos creados para un mundo interconectado con entornos heredados que datan de una época en la que estaban aislados y los ataques externos eran impensables. Un ejemplo de ello son los mainframes, que tienen una vida casi eterna en bancos y proveedores de telecomunicaciones. Pero incluso con el software empresarial común, coexisten diferentes generaciones y no pueden evitar confiar unas en otras, por ejemplo aceptando certificados sin comprobarlos. Los atacantes, tanto internos como externos, se benefician de ello, sobre todo en el caso de los desplazamientos laterales generalizados, y así penetran desde las partes no críticas del entorno hasta las áreas más sensibles.

Seguir siendo capaz de actuar

Ante esta situación, sería un error centrarse únicamente en la defensa frente a las amenazas. Más bien, es igual de importante seguir siendo capaz de actuar en caso de que los ataques tengan éxito. Por tanto, la ciberresiliencia está a la orden del día, como bien escribe la BSI. ¿Qué significa esto para los actuales clientes de SAP? Deben partir de la premisa de que El enemigo ya está en el sistema y procede del interior en aproximadamente un tercio de los casos y en dos tercios del exterior. La resiliencia no empieza con la seguridad de las aplicaciones SAP, sino con la infraestructura, se extiende a las interfaces y los flujos de datos desde y hacia los sistemas periféricos y gestiona el inevitable compromiso entre la viabilidad y el máximo nivel de seguridad posible. También permite a los actuales clientes de SAP asumir en todo momento la plena responsabilidad de la seguridad y el cumplimiento de las normativas, incluso en caso de amenaza, tanto en su propio centro de datos como en la nube pública. Esto requiere una transparencia total y una supervisión sin fisuras a todos los niveles, así como una estrecha colaboración y comunicación entre los equipos de SAP y de seguridad. Por desgracia, esto es precisamente lo que suele faltar.

Cómo surgen los riesgos para la seguridad de SAP

Mayor falta de transparencia: en la mayoría de las empresas, los entornos SAP son el resultado de años de ampliaciones, cambios y desarrollos internos. Se han comprado y vendido empresas, se han fusionado unidades de negocio y se han creado otras nuevas, se han cerrado plantas y sucursales y se han abierto otras nuevas. Y en cada ocasión, el departamento de TI ha tenido que planificar los cambios organizativos y los deseos de los departamentos especializados en SAP, los sistemas de terceros y la infraestructura, además de las operaciones diarias como la instalación de actualizaciones y parches, la gestión de autorizaciones, el mantenimiento de la infraestructura y las interfaces, el mantenimiento de las soluciones de seguridad, etc.

Los entornos SAP e informáticos de crecimiento histórico son arbitrariamente complejos y los empleados escasos. La rotación de personal en TI y en los departamentos especializados hace el resto. Las autorizaciones se mantienen de forma incompleta, no se documentan todos los cambios, sistemas y configuraciones, hay muy poco tiempo para la formación continua necesaria y el intercambio adecuado de información y los compañeros que dejan la empresa se llevan sus conocimientos a su nuevo empleador o a la jubilación. Esta situación no sólo afecta a los equipos de SAP Basis, sino también a los de seguridad. También luchan por seguir el ritmo de los cambios tecnológicos y adquirir continuamente las competencias necesarias. Además, en muchos casos no sólo son responsables de la seguridad informática, sino también del cumplimiento de las normativas.

... encuentra escasez de personal

Además, los equipos de seguridad de SAP utilizan a menudo una variopinta gama de herramientas individuales que no están integradas entre sí y que a veces incluso se manejan manualmente. Esto no es muy eficaz y conlleva el riesgo de que las vulnerabilidades de seguridad no se descubran hasta pasado un tiempo considerable. Los ciberdelincuentes se aprovechan de ello sin piedad para comprometer y paralizar el software SAP, tanto a nivel de infraestructura como de aplicaciones, o para robar datos críticos para la empresa.

En otras palabras, la falta de transparencia, de conocimientos y de personal conduce regularmente a un desconocimiento, al menos parcial, de los ámbitos del panorama informático y de SAP que merecen especialmente protección y, en consecuencia, a una atención excesiva a las amenazas externas y, a la inversa, a una infravaloración sistemática de los riesgos internos.


A la entrada de socios:

avatar
Stefan Dunsch, itesys

Stefan Dunsch es Director del Centro de Competencia SAP en itesys


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 24 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.