Seguridad de los datos
Un sistema de autorización SAP existe desde el principio, pero en un sistema cerrado y blindado, la seguridad y la protección de los datos pueden realizarse con menos esfuerzo que en un ERP 7 x 24 conectado a Internet.
Incluso en la era de R/2 y R/3, la gestión de autorizaciones no era un "juego de niños" y un sistema ERP nunca es una "granja de ponis". Sin embargo, la apertura de la caja negra del R/3 y la computación en nube han traído consigo tareas completamente nuevas y han contribuido así a que la "gestión de autorizaciones" se convierta en una disciplina por derecho propio.
Secude se ha dedicado al reto de la "seguridad de los datos" y está considerado un proveedor líder en la comunidad global de SAP. El redactor jefe de E-3, Peter Färbinger, habló con Andreas Opfer, director general, y Holger Hügel, vicepresidente de productos y servicios de Secude.
Sistema de autorización
Cuando un cliente de SAP oye hablar de "seguridad", lo primero que piensa es en su propio sistema de autorización: ¿Sigue estando actualizado este acceso a la seguridad basado en roles?
"El acceso es y sigue siendo oportuno, ya que ofrece suficiente protección dentro del panorama del PEA"
explica Andreas Opfer.
"Nos centramos en el mundo exterior a SAP. Los datos salen del sistema SAP para dar soporte a los procesos establecidos que se procesan posteriormente en las aplicaciones de Microsoft."
Fuera del entorno SAP, el sistema de autorización ya no es eficaz, los datos están "libres como un pájaro", y Secude lo considera un gran peligro. Y Holger Hügel añade:
"El concepto de autorización basado en roles de SAP siempre ha resultado engorroso para los clientes a la hora de asegurar de forma adecuada los procesos empresariales, en su mayoría personalizados, mapeados en él.
Muchos clientes de SAP dicen en broma que probablemente tienen tantos perfiles SAP como usuarios. Ya existen muchas soluciones que simplifican la seguridad dentro del sistema SAP. Secude adopta un enfoque centrado en los datos basado en la clasificación automatizada de los mismos y se centra en las interfaces de exportación de datos en SAP."
Todo lo que los clientes de SAP consideran crítico para el negocio o sensible son datos que merece la pena proteger en SAP, definen conjuntamente Andreas Opfer y Holger Hügel. Por parte del legislador, esto incluye también los datos personales.
La propiedad intelectual de los clientes se encuentra a menudo en el ámbito de los datos financieros, materiales, de planificación de la producción y de construcción. Por supuesto, los datos de los clientes y las condiciones de fijación de precios también son sensibles.
"Para Secude, es importante mantenerlos en el espacio protegido del sistema SAP y sólo dejarlos salir de forma controlada en forma de descargas de usuarios o transferencias de datos. Hay que impedir las descargas no autorizadas y proteger los archivos de exportación necesarios mediante encriptación y perfiles de acceso integrados".
explica Holger Hügel en una entrevista con E-3. Y Andreas Opfer precisa:
"Distinguimos entre la información crítica para el negocio, que es de vital importancia para la continuidad de la empresa, y los datos personales, que tendrán que ser especialmente protegidos en el futuro en el marco del Reglamento General de Protección de Datos de la UE".
¿Qué merece la pena proteger?
La información relevante es, por ejemplo, una nueva tecnología para la propulsión eléctrica que permite una autonomía de más de 1.000 kilómetros y asegura el éxito futuro y, por tanto, el beneficio del fabricante de automóviles.
Si esta información fuera robada en su viaje a través de Internet, de camino desde Alemania a una planta de producción en China, se trataría de un daño incalculable.
Los datos personales no son sólo la información SAP HR de los propios empleados. Los datos almacenados de los clientes de un proveedor de telecomunicaciones también deben protegerse en el futuro o no deben perderse.
"Todas las empresas que trabajan con datos de clientes se ven afectadas por el reglamento de la UE, incluidas las empresas de países no comunitarios que hacen negocios en Europa"
subraya Andreas Opfer.
Enfoque global
El enfoque de seguridad de datos de Secude para SAP se aplica naturalmente a todos los niveles de versión, Andreas Opfer: "Estamos certificados para todos los niveles de versión comunes".
La solución Halocore de Secude trabaja en la capa NetWeaver. Aunque a SAP ya no le gusta utilizar esta denominación con S/4, técnicamente sigue siendo la misma capa. Holger Hügel: "Por eso nuestra solución se adapta por igual a todas las versiones de SAP a partir de la 7.0".
Los clientes actuales de SAP tienen en cuenta todas estas capas en su concepto de seguridad de los datos. Sin embargo, Holger Hügel sabe por su experiencia profesional que las capas individuales suelen considerarse por separado y desvinculadas de los procesos empresariales y los flujos de datos:
"También hay una falta de sincronización de las respectivas implementaciones técnicas en muchos casos. La seguridad de los datos debe empezar por los procesos y los datos procesados en ellos.
De ahí se derivan los requisitos de seguridad, que luego se implementan técnicamente en las capas individuales. Sin embargo, la dinámica de funcionamiento de SAP también requiere una instancia central, una solución de seguridad que mantenga la coherencia de todas estas capas de forma automatizada."
"Nos centramos en todos los datos que se procesan en SAP".
explica Andreas Opfer.
"Esto puede estar en una base de datos Hana o en cualquier otra, no nos importa. También nos referimos a un dibujo CAD de I+D de exactamente esta nueva batería eléctrica -que he mencionado en primer lugar- que se almacena externamente en un servidor de contenidos y que se procesa así como se envía en SAP como datos que merece la pena proteger. Todos los demás componentes mencionados, sistema operativo, etc., son de importancia secundaria para nosotros".
El único camino hacia S/4 pasa por un proyecto de migración a Hana: ¿a qué aspectos de seguridad debe prestar atención aquí un cliente SAP existente?
Además de la pila NetWeaver, Hana también ofrece la posibilidad de acceder a los datos directamente o a través de Hana XSA. Esto significa que Hana también tiene su propio concepto de autorización. Holger Hügel afirma:
"Esto debe integrarse en el concepto existente o éste debe ampliarse a Hana. Hana como plataforma ofrece numerosas interfaces de aplicación nuevas, todas las cuales conllevan riesgos de seguridad per se. Se necesitan soluciones técnicas para minimizar estos riesgos.
Computación en nube
Para algunos clientes actuales de SAP, SAP en Azure es una alternativa muy interesante a su propio centro de datos. La seguridad desde el punto de vista de los procesos y los datos es en sí misma independiente del modelo operativo o de la plataforma operativa de la aplicación, afirma Holger Hügel.
"Sin embargo, sólo en la nube los clientes se preguntan quién puede acceder allí a los datos y de qué forma. El uso indebido de los datos por parte de iniciados, es decir, ya en las instalaciones, representa dos tercios de todos los incidentes.
La nube no cambia nada, como bien sabe Andreas Opfer. Aunque el centro de datos esté externalizado, los usuarios de SAP cargan los datos en su ordenador local, por ejemplo en una hoja de cálculo Excel, y por tanto son tan vulnerables como en los entornos locales. Y señala un hecho importante:
"Sin embargo, los clientes de SAP deben asegurarse de que también existen mecanismos de protección para la administración por parte de los proveedores de servicios en el caso de modelos operativos externos.
Una unidad de operaciones SAP con sede en la India y encargada del mantenimiento de los sistemas del cliente, incluidas las sesiones de los bomberos, tiene todas las posibilidades de descargar datos sensibles y críticos para la empresa en cualquier momento. Se trata de un riesgo importante que no puede protegerse con meras penalizaciones contractuales".
Las descargas automáticas en otras aplicaciones también forman parte de la gama de servicios de Secude. Y Andreas Opfer subraya con énfasis en la entrevista de E-3 que estas descargas son en su mayoría desconocidas porque se transmiten a las aplicaciones de terceros a través de una interfaz sin la intervención activa del usuario.
"Secude también lo supervisa, lo que permite una transparencia del 100% de todas las descargas de datos SAP".
explica Andreas Opfer. Cuando se transfieren datos de SAP a otro sistema, se plantea la cuestión de cómo se adopta y se asigna el perfil de seguridad SAP de estos datos en el otro sistema. Holger Hügel describe así el escenario:
"En muchos casos, como ya se ha mencionado, estos perfiles no coinciden técnicamente. Básicamente, se trata de un riesgo para la seguridad de los datos. Si el software estándar es incluso Microsoft Office, que es muy a menudo el caso, no hay seguridad de datos en absoluto sin Microsoft AIP/RMS. Aquí es exactamente donde Secude interviene sin problemas y de forma automática, conectando los mundos SAP y Microsoft".
El reto consiste en considerar la seguridad como una disciplina continua, proactiva y preventiva en las operaciones.
"No basta con tapar los agujeros de seguridad en cuanto se descubren".
advierte Hügel. Las nubes refuerzan esta necesidad porque las superficies de ataque son simplemente mayores, más diversas y más complejas. Andreas Opfer conoce bien la situación:
"Los proveedores de servicios en la nube son reacios a invertir en la seguridad de los datos o quieren repercutir el coste a sus clientes. Los clientes, por su parte, esperan esta protección del proveedor de servicios, pero no les presionan para que actúen. Hornberger dispara".
Y Holger Hügel añade:
"Los proveedores de la nube suelen centrarse en los ataques desde el exterior, es decir, por parte de piratas informáticos. El insider que tiene acceso a la aplicación SAP no es el centro de atención".
Reglamento general de protección de datos
El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016. Andreas Opfer:
"Muchas empresas aún no se han dado cuenta de ello. Estamos en la fase de aplicación, que generosamente se fijó en dos años. Termina el 25 de mayo de 2018, y la gente lo está afrontando de formas muy diferentes".
En esencia, el GDPR ha aumentado drásticamente las sanciones por infracciones, por lo que los directores financieros han tomado nota. Los demás aspectos no son nada nuevo, al menos para los clientes de SAP en Alemania.
"Los clientes de SAP deben identificar exactamente en qué procesos procesan datos personales".
recomienda Holger Hügel. Mientras los datos no salgan del sistema SAP durante el proceso, la protección de datos suele estar satisfecha. SAP está bastante bien posicionado a este respecto.
"Sin embargo, es imperativo que las exportaciones de datos se controlen de forma automatizada".
subraya Hill.
"Sólo las exportaciones necesarias y justificadas pueden salir del sistema. La protección de datos debe seguir a los datos, este es técnicamente el mayor reto y necesita tiempo para aplicar las soluciones adecuadas."
Los clientes actuales de SAP deben reaccionar ahora, no cuando se queje el primer cliente.
"Secude ofrece una solución para todos los datos personales de un entorno SAP que cumple los requisitos del Reglamento General de Protección de Datos.
Andreas Opfer se declara listo para partir.
"Registrar todas las descargas intencionadas y no intencionadas: son varios miles de descargas al día que no se pueden supervisar ni controlar sin una "máquina"".
Por ejemplo, en caso de incumplimiento de las directrices establecidas por el Reglamento General de Protección de Datos, Secude alerta a través de SIEM y permite a los clientes reaccionar en el plazo especificado de 72 horas y notificar el incidente a las autoridades.
Por lo tanto, la seguridad de los datos sigue siendo un tema importante y esencial en 2018 que ningún CIO puede ignorar.