fbpx
Saltear al contenido principal

Seguridad de SAPSi utiliza SAP en su organización, contará con un enfoque diligente en seguridad y cumplimiento de SAP. El actual entorno de amenazas a la seguridad cibernética lo exige. SAP es el núcleo de un negocio. Las empresas mejor gestionadas utilizan SAP, lo que convierte al sistema PRE en uno de los objetivos más jugosos para los atacantes avanzados de hoy en día.

Algunos riesgos comunes de la seguridad de SAP

Las medidas de seguridad de SAP abarcan todo el espectro de procesos de negocio, identidades de usuario, roles y permisos, sistemas, datos e infraestructura subyacente. Cada uno de estos elementos expone a SAP ante las amenazas. Todos requieren estrategias de mitigación de riesgos y contramedidas.

Roles y exposición al riesgo de control de acceso

¿Quiénes pueden acceder a SAP? De ellos, ¿a qué funciones puede acceder cada usuario? Estas son las preguntas fundamentales sobre el control de acceso de SAP. Es esencial contar con respuestas firmes y precisas para brindar un nivel significativo de seguridad de SAP. La mejor práctica es revisar el acceso de los usuarios regularmente. Los revisores deben evaluar las reglas de acceso basadas en roles, así como las transacciones (códigos T) y los niveles de objetos de autorización.

El acceso del usuario también ocupa un lugar destacado en la segregación de tareas (SdT), un control importante requerido para cumplir con la Ley Sarbanes-Oxley. Segregar las tareas significa dividir el acceso y los privilegios del sistema SAP de tal manera que ninguna persona pueda realizar todos los pasos de una transacción financiera, p. ej., emitir un cheque para pagar una factura. Si estas tareas no están segregadas, es posible que un usuario de SAP cometa fraude. Si bien no es inherentemente un requisito de ciberseguridad, la SdT depende de los controles de acceso, que son necesarios para la seguridad.

Los roles de usuario y los controles de acceso afectan a terceros, como proveedores, socios comerciales y contratistas. Permitir que personas externas interactúen o se integren con su sistema SAP a menudo es esencial para hacer negocios en el mundo digital y conectado de hoy en día. Sin embargo, la práctica viene con su parte de riesgos de seguridad. Por ejemplo, puede que sea imposible saber si los usuarios de terceros tienen el peligroso hábito de compartir contraseñas. O bien, es posible que no sepa si un empleado de un tercero ha abandonado su empresa. No quiere que esa persona tenga acceso a sus datos de SAP.

La identificación de usuario temporal de FireFighter es otra superficie de ataque potencial que hay que proteger con políticas de seguridad de SAP fuertes. Dado que confiere privilegios de acceso elevados en caso de que hubiera un problema, es un arma poderosa para un actor malintencionado. Una buena práctica es limitar el número de usuarios que pueden beneficiarse de FireFighter. Como alternativa, puede ser una buena política de seguridad dividir el uso de FireFighter por áreas. Podría tener una identificación de FireFighter para la base de datos, otra para el acceso a la aplicación, etc.

Problemas sistémicos de seguridad de SAP

La aplicación, los datos y la infraestructura de SAP exponen a la empresa a los riesgos de seguridad. Por ejemplo, puede implementar un período de apertura o cierre para el registro de las transacciones financieras. Un par de riesgos se detectan incluso con un control tan simple. Si hay un cambio en los procesos de negocio o flujos de trabajo, el control podría interferir con las operaciones o crear datos de mala calidad, como una transacción que se produce en dos períodos contables diferentes. Esto no es un problema de seguridad como la vulnerabilidad a un ciberataque, pero la seguridad también trata de garantizar la elevada integridad de los datos para el negocio. Un lapso en los controles podría afectar a este pilar de InfoSec.

Como alternativa, los controles de la aplicación pueden abrir entradas en el back-end de SAP que expongan el sistema a amenazas. Los objetos personalizados, como formularios e interfaces, pueden crear «puertas traseras» imprevistas para los actores malintencionados. Es una buena práctica examinar cuidadosamente cualquier personalización propuesta para evaluar si permite que terceros o usuarios no autorizados (incluidas las máquinas) accedan a datos y realicen llamadas de procedimiento en el entorno SAP.

El hardware básico y la red en sí pueden afectar a la posición de seguridad de una instancia de SAP. Aquí es donde las amenazas altamente avanzadas y persistentes pueden tener un gran impacto en las organizaciones que utilizan SAP. Las amenazas incluyen rootkits, ataques al sistema operativo, ataques basados ​​en firmware, ataques a bases de datos, ransomware, programas malignos a través de la red y muchas cosas más. Los conectores entre las diferentes partes del sistema SAP también influyen en la exposición al riesgo. Si no están bien protegidos, pueden ser vulnerables a un acceso no autorizado que pondría en riesgo los datos del sistema.

Controlar la seguridad en entornos SAP

Hay muchos factores que gestionar cuando uno se enfrenta al alcance total de la seguridad de SAP. Para ayudarle a hacer frente y lograr la mejor posición de seguridad posible, hemos desarrollado una serie de tres pasos con las mejores prácticas:

  • Establezca riesgos iniciales: revise sus roles sensibles, entendiendo que los roles con más poder de su sistema son los más vulnerables. Revise las transacciones personalizadas, como las que comienzan con Y o Z. Ejecute un análisis de riesgos de SdT, observando si las partes interesadas no están en consonancia con respecto al acceso que necesitan los empleados específicos.
  • Defina los controles: cree una lista de auditoría que cubra los derechos de acceso de los usuarios (el lugar, el momento y el motivo del acceso). Asigne controles atenuadores, incluidas las fechas de vencimiento, para que SdT no falle debido a las personas que se mueven por la organización. Verifique los controles y asegúrese de que aún estén activos. Haga esto una o dos veces al año.
  • Realice una evaluación de riesgos del sistema: compruebe si hay problemas simples, pero graves, como contraseñas no seguras. Verifique que los parámetros del perfil sean consistentes en todas las implementaciones en la nube y locales; p. ej., bloquee los sistemas de producción para evitar cambios accidentales o no autorizados. Elimine todas las claves del desarrollador y limítelas durante el desarrollo.

¿Los servicios de seguridad de SAP gestionados son la opción correcta?

Los servicios de seguridad gestionados (MSS, por sus siglas de inglés) ofrecen una alternativa para cuidar cada elemento de la seguridad de SAP por su cuenta. Con MSS, externaliza algunas o todas sus necesidades de seguridad a una empresa como Symmetry. Asegúrese de que el proveedor que elija le guíe por las mejores prácticas descritas anteriormente.