{"id":62027,"date":"2015-06-22T13:46:49","date_gmt":"2015-06-22T11:46:49","guid":{"rendered":"http:\/\/e3mag.com\/?p=62027"},"modified":"2019-08-22T13:58:02","modified_gmt":"2019-08-22T11:58:02","slug":"lagunas-de-seguridad-en-el-95-por-ciento-de-los-sistemas-sap","status":"publish","type":"post","link":"https:\/\/e3mag.com\/es\/lagunas-de-seguridad-en-el-95-por-ciento-de-los-sistemas-sap\/","title":{"rendered":"Lagunas de seguridad en el 95 por ciento de los sistemas SAP"},"content":{"rendered":"

Onapsis, especialista en seguridad SAP, ha identificado los tres m\u00e9todos m\u00e1s comunes de ciberataques a aplicaciones SAP. Estos vectores de ataque exponen a un alto riesgo los datos de propiedad intelectual, financieros, de tarjetas de cr\u00e9dito, de clientes y proveedores, as\u00ed como la informaci\u00f3n almacenada en las bases de datos de las mayores empresas del mundo.<\/p>\n

Para su estudio, Onapsis Research Labs analiz\u00f3 cientos de instalaciones SAP. El 95% de estos sistemas SAP presentaban vulnerabilidades que pod\u00edan permitir a los piratas inform\u00e1ticos obtener pleno acceso a los datos y procesos empresariales de las empresas afectadas.<\/p>\n

18 meses hasta que se aplique un parche<\/h3>\n

Adem\u00e1s, los investigadores descubrieron que la mayor\u00eda de las empresas tardan 18 meses o m\u00e1s en aplicar los parches para las vulnerabilidades detectadas.<\/p>\n

Solo en 2014, SAP public\u00f3 391 parches de seguridad, \u00a1una media de m\u00e1s de 30 al mes! SAP dio una prioridad alta a casi el 50 % de estos parches.<\/p>\n

\u00bfQui\u00e9n es responsable?<\/h3>\n

\"Muchas empresas no se toman suficientemente en serio el tema de la ciberseguridad de SAP porque no est\u00e1 claro qui\u00e9n es el responsable: el equipo de operaciones de SAP o el equipo de seguridad inform\u00e1tica. Esto nos sorprendi\u00f3 mucho\".<\/em><\/p>\n

afirma Mariano N\u00fa\u00f1ez, director general y fundador de Onapsis.<\/p>\n

La mayor\u00eda de los parches aplicados no son relevantes para la seguridad, llegan tarde o abren nuevas vulnerabilidades para el funcionamiento del sistema SAP. Cada d\u00eda se conocen nuevas fugas de datos sin que los responsables de seguridad de la informaci\u00f3n (CISO) se enteren de ellas, porque carecen de visibilidad de sus aplicaciones SAP.<\/p>\n

Los tres ataques SAP m\u00e1s comunes<\/h3>\n
    \n
  1. Amenazas a la informaci\u00f3n de clientes y tarjetas de cr\u00e9dito que aprovechan el intercambio entre sistemas SAP: Los ataques comienzan en un sistema con una configuraci\u00f3n de seguridad baja y se abren camino hasta un sistema cr\u00edtico para la empresa mediante la ejecuci\u00f3n de m\u00f3dulos de funciones controlables de forma remota en el sistema objetivo.<\/li>\n
  2. Ataques a portales de clientes y proveedores: para ello se crean usuarios de puerta trasera en el m\u00f3dulo de gesti\u00f3n de usuarios SAP J2EE. Aprovechando una vulnerabilidad, los piratas inform\u00e1ticos pueden acceder a los portales SAP y a las plataformas de integraci\u00f3n de procesos, as\u00ed como a los sistemas internos asociados.<\/li>\n
  3. Ataques a bases de datos a trav\u00e9s de protocolos propios de SAP: Para este ataque, se ejecutan comandos del sistema operativo con los derechos de determinados usuarios y se aprovechan las vulnerabilidades del RFC Gateway de SAP. El pirata inform\u00e1tico obtiene acceso a cualquier informaci\u00f3n almacenada en la base de datos SAP y puede modificarla.<\/li>\n<\/ol>\n

    Conclusi\u00f3n:\u2009<\/h3>\n

    \"La base de datos en tiempo real Hana est\u00e1 empeorando a\u00fan m\u00e1s la situaci\u00f3n. El n\u00famero de nuevos parches de seguridad que afectan espec\u00edficamente a esta nueva plataforma ha aumentado un 450%.<\/p>\n

    Adem\u00e1s, Hana es un componente esencial en el centro del ecosistema SAP. Los datos que se almacenan en las plataformas SAP deben protegerse ahora tanto en la nube como en la empresa\", explica N\u00fa\u00f1ez.<\/p>\n

     <\/p>\n

    \n

     <\/p>\n

    Plan de acci\u00f3n para Jefes de Seguridad de la Informaci\u00f3n (CISO)<\/h3>\n

    Las organizaciones que ejecutan procesos cr\u00edticos para el negocio utilizando soluciones Business Suite deben seguir los \u00faltimos consejos de seguridad de SAP. Tambi\u00e9n deben asegurarse de que sus sistemas est\u00e1n correctamente configurados para cumplir los requisitos de conformidad aplicables y aumentar los niveles de seguridad. Estas actividades deben seguir un plan de acci\u00f3n que establezca la ciberseguridad de SAP como parte de la estrategia y la hoja de ruta corporativas:<\/p>\n