La plataforma global e independiente para la comunidad SAP.
Gestión informática, MAG 18-02

El quid de la cuestión con las interfaces SAP

Las interfaces SAP desprotegidas abren la puerta a los piratas informáticos. Muchas empresas lo saben, pero hasta la fecha no disponen de medidas de seguridad suficientes. Lo que se necesita son soluciones con las que se puedan analizar y supervisar las interfaces de forma generalizada.
Oleksandr Panchenko, Fragua Virtual
14 febrero 2018
Contenido:
El quid de la cuestión con las interfaces SAP
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Los entornos de sistemas SAP crecen y cambian constantemente. Esto se debe a la evolución general del mercado, como la globalización, que da lugar a procesos empresariales cada vez más complejos. Las empresas se expanden, se fusionan y adquieren otras empresas. Además, hay nuevas tendencias de digitalización, por ejemplo la computación en nube y la Industria 4.0, que requieren redes de TI cada vez más sólidas.

A lo largo de los años, han surgido en muchos lugares entornos de sistemas heterogéneos con hasta varios miles de interfaces de datos, que conectan las aplicaciones SAP entre sí, pero también con sistemas ajenos a SAP.

Además de las interfaces conocidas, hay varias de las que los responsables del sistema ni siquiera son conscientes como tales, como las descargas no autorizadas de listas a través de la GUI de SAP, el acceso directo a la base de datos o la comunicación con sistemas externos.

Un resquicio para los ladrones de datos

Si estas interfaces están anticuadas, mal configuradas o insuficientemente protegidas, ofrecen a los piratas informáticos atractivas pasarelas para acceder a la información. Los ladrones de datos, los espías económicos y los saboteadores están entonces en condiciones de copiar, modificar o borrar conjuntos enteros de datos y falsificar así el resultado del balance o cerrar por completo el sistema SAP.

Esto puede tener considerables consecuencias financieras y jurídicas para una empresa, y su reputación también se resiente. La presión se ve intensificada por leyes estatutarias de protección de datos cada vez más estrictas, como el nuevo Reglamento General de Protección de Datos (RGPD) de la UE, de obligado cumplimiento a partir del 25 de mayo de 2018.

El RGPD de la UE armoniza las normas para el tratamiento de datos personales por empresas e instituciones públicas en toda la UE. Estas estarán obligadas a adoptar las medidas técnicas y organizativas adecuadas para proteger los datos personales, por ejemplo, contra el tratamiento por personas no autorizadas y contra la pérdida accidental.

Además, los requisitos de documentación son más estrictos en comparación con la normativa de protección de datos vigente anteriormente: el responsable del tratamiento de los datos debe poder demostrar su conformidad con las directrices del GDPR de la UE. Las infracciones se castigan con elevadas multas de hasta 20 millones de euros o hasta el 4 por ciento de la facturación global anual de una empresa.

Aunque hace tiempo que se conocen los riesgos de las interfaces SAP no seguras, la mayoría de las empresas no tienen el problema bajo control, principalmente porque no existe una transparencia total sobre las interfaces existentes.

Oleksandr Panchenko Infra 1802

Sin documentación centralizada

Por regla general, no existe una oficina central que disponga de la documentación completa de todas las interfaces y de los datos intercambiados a través de ellas. A menudo, los departamentos negocian las interfaces de sus sistemas SAP directamente con los clientes, proveedores o fabricantes de sistemas sin que esto se incluya en un inventario de toda la empresa.

Así pues, difícilmente pueden las empresas evaluar y supervisar continuamente las interfaces SAP actuales para protegerlas contra posibles ataques. Tampoco están en condiciones de cumplir las disposiciones del GDPR de la UE, ya que ni siquiera saben exactamente qué interfaces SAP se utilizan o pueden utilizarse para intercambiar información personal en absoluto.

Sin embargo, sin este conocimiento no pueden demostrar que han asegurado las interfaces correspondientes de acuerdo con el estado de la técnica para proteger los datos personales de accesos no autorizados o fugas accidentales.

Mucho esfuerzo para los análisis manuales

Para evitar estos problemas y ganar transparencia sobre su panorama de interfaces, algunas empresas ya recurren a análisis manuales de los parámetros críticos para la seguridad de las interfaces y a estadísticas de tiempo de ejecución.

Sin embargo, estas evaluaciones normalmente sólo pueden realizarse de forma aleatoria, ya que consumen mucho tiempo. Existen limitaciones similares en el uso de las diversas herramientas de análisis que se ofrecen en el mercado.

Esto se debe a tres razones principales. En primer lugar, las soluciones existentes se centran en la evaluación de tecnologías de interfaz individuales, ya que pueden encontrarse unas junto a otras en gran número en un entorno de sistema SAP crecido: por ejemplo, Remote Function Call (RFC), HTTP, FTP, Java Connector (JCo) y muchas otras.

Por tanto, quien quiera hacerse una idea lo más completa posible de las interfaces disponibles en la actualidad debe analizar cada tecnología por separado y consolidar los resultados manualmente: Este gasto de tiempo y dinero también es considerable.

Las soluciones disponibles no bastan

Otra desventaja de las soluciones disponibles es que sólo analizan las interfaces y los flujos de datos localmente, es decir, desde un único sistema. Sin embargo, para obtener una imagen lo más completa posible de las relaciones de comunicación dentro de un entorno de sistemas SAP, cada interfaz debe evaluarse en ambos lados.

Muchas herramientas de análisis convencionales se centran en un único problema, como la cuestión de qué datos se descargan a través de la GUI de SAP. En cualquier caso, la claridad sobre el panorama de interfaces existente sólo se consigue de forma selectiva.

Las empresas pueden obtener una visión completa con soluciones como Virtual Forge InterfaceProfiler. Pueden crear un modelo o un conjunto de reglas para el sistema SAP y el entorno de interfaz deseados y compararlos con la información recopilada de forma continua (análisis de rendimiento objetivo).

En el proceso, las desviaciones se notifican y documentan. Partiendo de un sistema SAP central, InterfaceProfiler analiza las relaciones de comunicación de todo el entorno del sistema.

Los resultados se presentan gráficamente y se generan protocolos de las vulnerabilidades encontradas, incluida su criticidad. Además, se hacen sugerencias para posibles mejoras de la seguridad y el diseño técnico de las interfaces.

Gracias a las funciones especiales de seguridad, es posible contrarrestar numerosos riesgos en el funcionamiento diario del sistema con sólo pulsar un botón, como el bloqueo de autorizaciones para descargar listas de resultados en la GUI de SAP.

También se pueden evitar las operaciones de copiar y pegar de listas ALV. Los permisos se pueden visualizar de forma clara y granular con precisión en la cabina de InterfaceProfiler, un requisito previo importante para cumplir con la GDPR.

Un componente de supervisión proporciona información sobre las interfaces que siguen siendo técnicamente funcionales pero que no se han utilizado durante algún tiempo. Además, se pueden determinar los intervalos de uso de las interfaces que aún están en uso y, de este modo, identificar las actividades no autorizadas y no programadas de las interfaces. Todos los eventos se registran de forma exhaustiva y pueden notificarse de forma activa.

 

https://e3mag.com/partners/virtual-forge-gmbh/

avatar
Oleksandr Panchenko, Fragua Virtual

Oleksandr Panchenko dirige el desarrollo de InterfaceProfiler en Virtual Forge.


Todos los artículos del autor

Escriba un comentario

Los usuarios son diferentes

450 000 millones mediante agentes de IA y humanos

Múltiples obras de ERP de SAP

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

FourSide Hotel Salzburgo,
Colección Trademark de Wyndham
Am Messezentrum 2, 5020 Salzburgo, Austria
+43-66-24355460

Fecha del acontecimiento

Miércoles, 10 de junio, y
Jueves, 11 de junio de 2026

Entrada anticipada

Entrada normal

390 EUR sin IVA.
disponible hasta el 1 de octubre de 2025
590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles 22 de abril y
Jueves, 23 de abril de 2026

Entradas

Entrada normal
590 EUR sin IVA
Suscriptores de la revista E3
reducido con promocode STAbo26
390 EUR sin IVA
Estudiantes
reducido con el promocode STStud26.
Envíe el justificante de estudios por correo electrónico a office@b4bmedia.net.
290 EUR sin IVA
*Las 10 primeras entradas son gratuitas para los estudiantes. ¡Prueba tu suerte! 🍀
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2026, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.