sap-security-basics-e1465306143729

Seguridad SAP, rige a qué datos y procesos pueden acceder los usuarios dentro de un entorno SAP. Típicamente, los usuarios tienen acceso suficiente para hacer su trabajo. Para entender los conceptos básicos de cómo funciona la seguridad de SAP, imagine un almacén con muchas salas cerradas. Para hacer una tarea, un usuario necesita ingresar (y tener acceso a) la habitación correcta.

 

El trabajo de los servicios de seguridad de SAP es asegurarse de que cada usuario solo tenga las llaves de las habitaciones a las que se supone que debe poder acceder; de esta forma, se evita que los empleados dañen accidentalmente los datos a los que no deberían tener acceso (o que creen un problema de seguridad si comprometen la información sensible). ¿Quiere saber más? Aquí hay una guía rápida de los conceptos básicos de seguridad de SAP:

 

Conceptos Básicos de Seguridad SAP — Seguridad Vs. GRC

La seguridad de SAP no es lo mismo que la gobernanza, el riesgo y el cumplimiento (GRC). GRC audita el acceso de los usuarios para detectar problemas con los privilegios o el comportamiento de los usuarios, luego reúne un programa de aprovisionamiento compatible, que se implementa con las herramientas de seguridad de SAP.

Seguridad SAP — Conceptos Básicos de Control de Acceso

La seguridad de SAP asigna roles a los usuarios. Cada función permite a los usuarios ejecutar ciertas transacciones (procesos dentro del sistema SAP). Al ejecutar una transacción, el usuario obtiene autorizaciones para realizar tareas específicas.

 

Bajo las mejores prácticas de seguridad de SAP, los administradores crean una función estándar para un puesto, que luego se puede asignar a cualquier persona que ocupe ese puesto. Por ejemplo, una empresa puede crear un rol de consultor financiero que le permita a cada consultor ejecutar un conjunto de transacciones relacionadas con los límites de crédito y otras tareas que cubre su trabajo. Cada consultor recibiría la autorización de seguridad de SAP HANA para abordar los límites de crédito de los clientes, pero solo para sus propios clientes. Esto permite que los consultores hagan su trabajo, mientras minimizan los riesgos de seguridad que plantean.

 

Por qué los conceptos básicos de seguridad de SAP son fáciles de malinterpretar

La configuración de seguridad de SAP puede interactuar de manera compleja e involuntaria. Las autorizaciones se comparten entre las transacciones, por lo que compartir el acceso a una parte de los datos puede dar acceso inadvertido a otra parte. Por ejemplo, uno de nuestros clientes había otorgado previamente acceso a un gerente para ver la evaluación de desempeño de sus empleados, pero lo hizo mal. Como resultado, el gerente pudo ver su propia evaluación antes de que estuviera completa.

 

Obtener los principios básicos de seguridad de SAP puede tener efectos mucho más dañinos. Por ejemplo, si a un administrador de clientes que supuestamente solo ve los nombres de los clientes se le concede accidentalmente acceso a la información de su tarjeta de crédito, esto puede conducir a una violación, robo o fraude PCI. Además, ciertos tipos de acceso, como la depuración, permiten a los usuarios eludir completamente los controles de acceso, lo que genera riesgos importantes si no se manejan adecuadamente.

 

Cómo fallan los servicios de seguridad de SAP en Go Live

Muchos socios de integración ven la seguridad de SAP como un obstáculo; Quieren que el sistema funcione primero y no quieren tener que lidiar con la creación de roles complicados. En lugar de tomar en cuenta los principios básicos de seguridad de SAP en la etapa de planificación, intentan adaptarse a los controles de seguridad una vez que se ha construido el proyecto, con resultados potencialmente desastrosos.

 

Para agravar el problema, la mayoría de las pruebas se realizan en el sistema de control de calidad (QA) donde el equipo de gestión del proyecto SAP tiene acceso ilimitado. Si no se prueba adecuadamente en la producción, se pueden generar importantes riesgos de seguridad de SAP al dar a los usuarios demasiados accesos o paralizar la empresa al no proporcionar todos los permisos que los usuarios necesitan para realizar su trabajo. Estos errores también pueden aumentar los riesgos que plantean las vulnerabilidades de seguridad cibernética, ya que los piratas informáticos pueden obtener más acceso al comprometer una cuenta.

 

Los controles de seguridad de SAP son una característica, no un error

Debido a que Symmetry maneja la administración de proyectos de TI y los servicios administrados de TI a largo plazo, comprendemos la importancia de una planificación cuidadosa y pruebas exhaustivas. Al incorporar estrictos controles de seguridad y cumplimiento en la fase de planificación, establecemos una base sólida para los servicios de seguridad de SAP a largo plazo.

 

Construimos sobre esa base después de la puesta en marcha, con monitoreo las 24 horas y respuesta a incidentes, junto con acceso directo a un equipo de soporte dedicado de SAP. Nuestros clientes duermen mejor sabiendo que, en caso de emergencia, nunca tendrán que esperar en espera ni navegar por un menú de ayuda.

 

Aprenda cómo detectar las vulnerabilidades de seguridad de SAP con ControlPanelGRC Evaluación de Riesgo de Seguridad.