El quid de la cuestión con las interfaces SAP


Los entornos de sistemas SAP crecen y cambian constantemente. Esto se debe a la evolución general del mercado, como la globalización, que da lugar a procesos empresariales cada vez más complejos. Las empresas se expanden, se fusionan y adquieren otras empresas. Además, hay nuevas tendencias de digitalización, por ejemplo la computación en nube y la Industria 4.0, que requieren redes de TI cada vez más sólidas.
A lo largo de los años, han surgido en muchos lugares entornos de sistemas heterogéneos con hasta varios miles de interfaces de datos, que conectan las aplicaciones SAP entre sí, pero también con sistemas ajenos a SAP.
Además de las interfaces conocidas, hay varias de las que los responsables del sistema ni siquiera son conscientes como tales, como las descargas no autorizadas de listas a través de la GUI de SAP, el acceso directo a la base de datos o la comunicación con sistemas externos.
Un resquicio para los ladrones de datos
Si estas interfaces están anticuadas, mal configuradas o insuficientemente protegidas, ofrecen a los piratas informáticos atractivas pasarelas para acceder a la información. Los ladrones de datos, los espías económicos y los saboteadores están entonces en condiciones de copiar, modificar o borrar conjuntos enteros de datos y falsificar así el resultado del balance o cerrar por completo el sistema SAP.
Esto puede tener considerables consecuencias financieras y jurídicas para una empresa, y su reputación también se resiente. La presión se ve intensificada por leyes estatutarias de protección de datos cada vez más estrictas, como el nuevo Reglamento General de Protección de Datos (RGPD) de la UE, de obligado cumplimiento a partir del 25 de mayo de 2018.
El RGPD de la UE armoniza las normas para el tratamiento de datos personales por empresas e instituciones públicas en toda la UE. Estas estarán obligadas a adoptar las medidas técnicas y organizativas adecuadas para proteger los datos personales, por ejemplo, contra el tratamiento por personas no autorizadas y contra la pérdida accidental.
Además, los requisitos de documentación son más estrictos en comparación con la normativa de protección de datos vigente anteriormente: el responsable del tratamiento de los datos debe poder demostrar su conformidad con las directrices del GDPR de la UE. Las infracciones se castigan con elevadas multas de hasta 20 millones de euros o hasta el 4 por ciento de la facturación global anual de una empresa.
Aunque hace tiempo que se conocen los riesgos de las interfaces SAP no seguras, la mayoría de las empresas no tienen el problema bajo control, principalmente porque no existe una transparencia total sobre las interfaces existentes.
Sin documentación centralizada
Por regla general, no existe una oficina central que disponga de la documentación completa de todas las interfaces y de los datos intercambiados a través de ellas. A menudo, los departamentos negocian las interfaces de sus sistemas SAP directamente con los clientes, proveedores o fabricantes de sistemas sin que esto se incluya en un inventario de toda la empresa.
Así pues, difícilmente pueden las empresas evaluar y supervisar continuamente las interfaces SAP actuales para protegerlas contra posibles ataques. Tampoco están en condiciones de cumplir las disposiciones del GDPR de la UE, ya que ni siquiera saben exactamente qué interfaces SAP se utilizan o pueden utilizarse para intercambiar información personal en absoluto.
Sin embargo, sin este conocimiento no pueden demostrar que han asegurado las interfaces correspondientes de acuerdo con el estado de la técnica para proteger los datos personales de accesos no autorizados o fugas accidentales.
Mucho esfuerzo para los análisis manuales
Para evitar estos problemas y ganar transparencia sobre su panorama de interfaces, algunas empresas ya recurren a análisis manuales de los parámetros críticos para la seguridad de las interfaces y a estadísticas de tiempo de ejecución.
Sin embargo, estas evaluaciones normalmente sólo pueden realizarse de forma aleatoria, ya que consumen mucho tiempo. Existen limitaciones similares en el uso de las diversas herramientas de análisis que se ofrecen en el mercado.
Esto se debe a tres razones principales. En primer lugar, las soluciones existentes se centran en la evaluación de tecnologías de interfaz individuales, ya que pueden encontrarse unas junto a otras en gran número en un entorno de sistema SAP crecido: por ejemplo, Remote Function Call (RFC), HTTP, FTP, Java Connector (JCo) y muchas otras.
Por tanto, quien quiera hacerse una idea lo más completa posible de las interfaces disponibles en la actualidad debe analizar cada tecnología por separado y consolidar los resultados manualmente: Este gasto de tiempo y dinero también es considerable.
Las soluciones disponibles no bastan
Otra desventaja de las soluciones disponibles es que sólo analizan las interfaces y los flujos de datos localmente, es decir, desde un único sistema. Sin embargo, para obtener una imagen lo más completa posible de las relaciones de comunicación dentro de un entorno de sistemas SAP, cada interfaz debe evaluarse en ambos lados.
Muchas herramientas de análisis convencionales se centran en un único problema, como la cuestión de qué datos se descargan a través de la GUI de SAP. En cualquier caso, la claridad sobre el panorama de interfaces existente sólo se consigue de forma selectiva.
Las empresas pueden obtener una visión completa con soluciones como Virtual Forge InterfaceProfiler. Pueden crear un modelo o un conjunto de reglas para el sistema SAP y el entorno de interfaz deseados y compararlos con la información recopilada de forma continua (análisis de rendimiento objetivo).
En el proceso, las desviaciones se notifican y documentan. Partiendo de un sistema SAP central, InterfaceProfiler analiza las relaciones de comunicación de todo el entorno del sistema.
Los resultados se presentan gráficamente y se generan protocolos de las vulnerabilidades encontradas, incluida su criticidad. Además, se hacen sugerencias para posibles mejoras de la seguridad y el diseño técnico de las interfaces.
Gracias a las funciones especiales de seguridad, es posible contrarrestar numerosos riesgos en el funcionamiento diario del sistema con sólo pulsar un botón, como el bloqueo de autorizaciones para descargar listas de resultados en la GUI de SAP.
También se pueden evitar las operaciones de copiar y pegar de listas ALV. Los permisos se pueden visualizar de forma clara y granular con precisión en la cabina de InterfaceProfiler, un requisito previo importante para cumplir con la GDPR.
Un componente de supervisión proporciona información sobre las interfaces que siguen siendo técnicamente funcionales pero que no se han utilizado durante algún tiempo. Además, se pueden determinar los intervalos de uso de las interfaces que aún están en uso y, de este modo, identificar las actividades no autorizadas y no programadas de las interfaces. Todos los eventos se registran de forma exhaustiva y pueden notificarse de forma activa.