Andreas Wiegenstein:<\/strong> Con el fin de obtener transparencia sobre la proporci\u00f3n y la calidad del c\u00f3digo de cliente en los sistemas SAP, Virtual Forge realiza continuamente una evaluaci\u00f3n comparativa global.<\/p>\n Actualmente estamos evaluando los escaneos an\u00f3nimos de m\u00e1s de 300 sistemas de clientes SAP. Empresas de todos los tama\u00f1os y sectores, principalmente de Alemania y Estados Unidos, participaron en este estudio, el m\u00e1s completo de su clase hasta la fecha.<\/p>\n Wiegenstein:<\/strong> En primer lugar, descubrimos que cada sistema SAP de producci\u00f3n contiene una media de unos dos millones de l\u00edneas de c\u00f3digo Abap de escritura propia, que los clientes utilizan para adaptar las funciones est\u00e1ndar de SAP a sus procesos empresariales.<\/p>\n El hecho de que hayamos encontrado numerosos errores en todos los c\u00f3digos de cliente sin excepci\u00f3n que podr\u00edan poner en peligro la seguridad y estabilidad de un sistema SAP es muy alarmante.<\/p>\n Se calcula que hay unos 2.000 errores cr\u00edticos por sistema SAP, que hacen a las empresas vulnerables a los ataques y tambi\u00e9n pueden causar problemas durante las auditor\u00edas de conformidad.<\/p>\n Wiegenstein:<\/strong> En su mayor\u00eda, est\u00e1n mal programados o carecen de controles de autorizaci\u00f3n. Estas vulnerabilidades bastar\u00edan por s\u00ed solas para causar da\u00f1os importantes a una empresa, ya que los empleados pueden acceder a la informaci\u00f3n sin estar autorizados para ello: se pueden cometer muchos abusos.<\/p>\n Pero a\u00fan peor es temer errores de seguridad realmente graves -los llamados errores asesinos- en los propios desarrollos de Abap. Actualmente hemos descubierto una media de 16 de ellos en cada sistema SAP, un n\u00famero significativamente mayor que en a\u00f1os anteriores.<\/p>\n Wiegenstein:<\/strong> Cada uno de estos fallos asesinos es tan cr\u00edtico que puede ser explotado por los atacantes para hacerse con el control total del sistema.<\/p>\n El c\u00f3digo de cliente de SAP ofrece numerosas pasarelas para robar, borrar o manipular bases de datos enteras y as\u00ed, por ejemplo, falsificar los resultados del balance de una empresa o sabotear por completo o simplemente desconectar el sistema SAP.<\/p>\n El da\u00f1o econ\u00f3mico que esto puede causar es enorme. Basta pensar, por ejemplo, que las empresas afectadas son responsables de cualquier da\u00f1o causado por el robo de datos sensibles de empleados o clientes. Al mismo tiempo, estos incidentes pueden acarrear importantes da\u00f1os a la reputaci\u00f3n.<\/p>\n Wiegenstein:<\/strong> Lamentablemente, no, porque normalmente no es posible demostrar plenamente despu\u00e9s de un ataque qu\u00e9 vulnerabilidad permiti\u00f3 al atacante penetrar en el sistema SAP en primer lugar.<\/p>\n \u00bfFue un defecto en el c\u00f3digo del cliente, en el c\u00f3digo est\u00e1ndar de SAP o en la instalaci\u00f3n del sistema o del cortafuegos? Lo que dificulta a\u00fan m\u00e1s el an\u00e1lisis de la causa es que muchas empresas no descubren que sus aplicaciones SAP han sido pirateadas hasta pasado un tiempo, por ejemplo, durante comprobaciones rutinarias o por casualidad.<\/p>\n Wiegenstein:<\/strong> En principio, dos grupos pueden considerarse culpables, a saber, los propios desarrolladores de la empresa o las empresas de consultor\u00eda que suministran a la empresa las mejoras SAP necesarias.<\/p>\n Los errores pueden introducirse inadvertidamente en el c\u00f3digo del cliente, por ejemplo por programadores que no se acuerdan de incluir las comprobaciones de autorizaci\u00f3n necesarias.<\/p>\n Por otro lado, por supuesto, tambi\u00e9n ocurre que los errores son introducidos deliberadamente, por ejemplo por empleados frustrados que quieren vengarse de su jefe, o por programadores externos que los utilizan para acceder a informaci\u00f3n confidencial de la empresa.<\/p>\n Wiegenstein:<\/strong> Por supuesto. No es en absoluto cierto que los sistemas SAP s\u00f3lo sean accesibles a trav\u00e9s de la red interna, como siguen afirmando muchos administradores de SAP.<\/p>\n Nuestra comparativa tambi\u00e9n llega a la conclusi\u00f3n de que s\u00f3lo el 0,3% de los desarrollos Abap internos de una empresa pueden ser accesibles a trav\u00e9s de Internet. Sin embargo, ya se han registrado varios casos en los que determinados troyanos se infiltraron con c\u00f3digo Abap comprado, permitiendo la filtraci\u00f3n de datos SAP cr\u00edticos para la empresa.<\/p>\n Por ejemplo, una empresa recibi\u00f3 de una empresa externa un c\u00f3digo Abap escrito por ella misma que agregaba los resultados de las ejecuciones contables al final de cada mes y los enviaba a una direcci\u00f3n de correo electr\u00f3nico externa. \u00a1Un caso cl\u00e1sico de delito inform\u00e1tico!<\/p>\n Wiegenstein:<\/strong> Como muestran los ejemplos, las precauciones convencionales, como cortafuegos, software antivirus y buenas contrase\u00f1as, no son en absoluto suficientes para cerrar las posibles puertas de acceso al c\u00f3digo Abap de los clientes.<\/p>\n Tampoco basta con que las empresas se aseguren de que las funciones y autorizaciones de sus empleados est\u00e1n configuradas correctamente. M\u00e1s bien se requieren estrategias y medidas espec\u00edficas para limpiar el c\u00f3digo de errores y evitar riesgos futuros.<\/p>\n En primer lugar, es aconsejable que los clientes sometan los desarrollos internos de Abap a an\u00e1lisis exhaustivos. Para ello se puede utilizar un software de pruebas especial que identifica autom\u00e1ticamente los errores y riesgos existentes y, en la medida de lo posible, los corrige de inmediato. Estos an\u00e1lisis suelen durar s\u00f3lo unos minutos.<\/p>\n Wiegenstein:<\/strong> Hay que adoptar varias medidas, tanto organizativas como t\u00e9cnicas. Para evitar errores en la fase de programaci\u00f3n, los desarrolladores internos deben recibir una formaci\u00f3n especial en seguridad Abap y cumplir directrices especiales de programaci\u00f3n, como las de la Oficina Federal Alemana de Seguridad de la Informaci\u00f3n (BSI).<\/p>\n Si el c\u00f3digo se compra al exterior, las empresas deben prestar una atenci\u00f3n estricta a la inclusi\u00f3n de normas de calidad adecuadas en los contratos con los proveedores, a su comprobaci\u00f3n y tambi\u00e9n a su exigencia. Adem\u00e1s, los desarrollos internos de SAP no deber\u00edan ponerse en marcha en el futuro si siguen conteniendo errores cr\u00edticos para la empresa.<\/p>\n Las especificaciones tambi\u00e9n incluyen la r\u00e1pida instalaci\u00f3n de parches de seguridad SAP y la supervisi\u00f3n permanente de todos los sistemas SAP para reconocer los ataques lo antes posible. A pesar de todas las medidas de precauci\u00f3n, es esencial disponer de planes de emergencia adecuados para poder contrarrestar los ataques con la mayor rapidez y eficacia posibles.<\/p>\n Wiegenstein:<\/strong> Nuestro punto de referencia es un an\u00e1lisis continuo. Agrega las conclusiones de un gran n\u00famero de resultados de an\u00e1lisis que nos proporcionan los clientes de SAP de forma an\u00f3nima.<\/p>\n Dado que estas cifras proporcionan informaci\u00f3n estad\u00edstica sobre la calidad del c\u00f3digo Abap de los clientes, cuantos m\u00e1s usuarios de SAP participen, m\u00e1s significativa ser\u00e1 la evaluaci\u00f3n comparativa. Damos la bienvenida a todas las empresas que participan. Nuestro an\u00e1lisis ofrece a las propias empresas la oportunidad de hacerse una idea del estado de su c\u00f3digo autoescrito en el menor tiempo posible.<\/p>\n Para ello, se escanea \u00edntegramente el c\u00f3digo de cliente de un sistema SAP seleccionado. Como resultado, la empresa recibe un informe de prueba que muestra cinco ejemplos de errores por tipo de error.<\/p>\n Esto suele revelar vulnerabilidades que no s\u00f3lo afectan a la seguridad, sino tambi\u00e9n al rendimiento de un sistema SAP. Nuestra experiencia demuestra que muchos sistemas no solo son m\u00e1s seguros una vez corregido el c\u00f3digo del cliente, sino que tambi\u00e9n funcionan de forma mucho m\u00e1s estable y r\u00e1pida.<\/p>\n El c\u00f3digo de cliente defectuoso es un riesgo de seguridad muy cr\u00edtico para los sistemas SAP. Virtual Forge lo descubri\u00f3 en un estudio comparativo de la calidad de Abap. Andreas Wiegenstein, CTO del proveedor de seguridad SAP, explica las principales vulnerabilidades y lo que los usuarios deben hacer al respecto.<\/p>","protected":false},"author":38,"featured_media":61274,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[161,2,1591],"tags":[453,3863],"coauthors":[19920],"class_list":["post-61293","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-szene","category-sap-nachrichten","category-1591","tag-abap","tag-trojaner","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",400,155,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-768x297.jpg",768,297,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-100x39.jpg",100,39,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-480x186.jpg",480,186,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-640x248.jpg",640,248,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-720x279.jpg",720,279,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-960x372.jpg",960,372,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",18,7,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":" Fehlerhafter Kundencode ist ein hoch kritisches Sicherheitsrisiko f\u00fcr SAP-Systeme. Dies fand Virtual Forge bei einem Abap Quality Benchmark heraus. Andreas Wiegenstein, CTO des SAP-Sicherheitsanbieters, erl\u00e4utert die gr\u00f6\u00dften Schwachstellen \u2013 und was Anwender dagegen tun sollten.<\/p>\n","category_list_v2":"Szene<\/a>, Community Nachrichten<\/a>, MAG 15-12<\/a>","author_info_v2":{"name":"Revista E-3","url":"https:\/\/e3mag.com\/es\/author\/e-3-magazin\/"},"comments_num_v2":"0 comentarios","_links":{"self":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/61293","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/users\/38"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/comments?post=61293"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/61293\/revisions"}],"predecessor-version":[{"id":138451,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/61293\/revisions\/138451"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media\/61274"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media?parent=61293"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/categories?post=61293"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/tags?post=61293"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/coauthors?post=61293"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}E-3: \u00bfCu\u00e1les son los resultados de referencia m\u00e1s importantes?<\/h3>\n
E-3: \u00bfEn qu\u00e9 \u00e1mbitos se encuentran estos puntos d\u00e9biles?<\/h3>\n
E-3: \u00bfQu\u00e9 tienen de peligroso estos \"bichos asesinos\"?<\/h3>\n
E-3: \u00bfSabe cu\u00e1ntos incidentes de seguridad de SAP est\u00e1n causados realmente por c\u00f3digo defectuoso del cliente?<\/h3>\n
E-3: \u00bfC\u00f3mo se producen en primer lugar los desarrollos internos de Abap defectuosos?<\/h3>\n
E-3: \u00bfAs\u00ed que los ataques al c\u00f3digo del cliente tambi\u00e9n pueden ser llevados a cabo por hackers externos?<\/h3>\n
E-3: \u00bfC\u00f3mo pueden protegerse los clientes de SAP contra los riesgos de su propio c\u00f3digo Abap?<\/h3>\n
E-3: \u00bfQu\u00e9 medidas deben adoptar las empresas a largo plazo?<\/h3>\n
E-3: \u00bfQu\u00e9 ventajas ofrece su Abap Quality Benchmark en este contexto?<\/h3>\n
E-3: Se\u00f1or Wiegenstein, muchas gracias por hablar con nosotros.<\/h3>","protected":false},"excerpt":{"rendered":"