Español | Deutsch | English

Cómo aplicar normas generales de seguridad TI a entornos SAP

octubre 18, 2016 | De Virtual Forge GmbH

En muchas empresas la seguridad TI tiene un punto ciego en el área SAP. Es erróneo argumentar que sistemas y software SAP cuentan con particularidades, que implican que la aplicación de normas generales de seguridad TI sea innecesaria o incluso sin sentido. Presentamos una revisión crítica de los argumentos y sus riesgos.

POR PETER MAIER-BORST, VIRTUAL FORGE

La seguridad de sus sistemas SAP es clave para cada empresa. Típicamente se manejan todos los procesos críticos de contabilidad, compras, ventas con altísima integración y globalmente en base del ERP software líder. El valor de la información contenida y procesada en SAP, motivan cada vez más ataques a sistemas SAP. No hace falta mencionar que se encuentran tanto instrucciones como reportajes sobre el tema en Internet y en prensa. Los daños, que causan tiempos de inactividad y la pérdida de la reputación puede ser tremendo.

Sin embargo, si un CISO exige de un equipo SAP el cumplimiento de las normas generales establecidas de seguridad TI, va a recibir como respuesta mil variaciones de “no es ni posible, ni necesario”, lo cual significa que hasta la fecha esto ni tan siquiera se haya intentado. No sorprende, que SAP es un frecuente punto ciego de la gestión general de riesgos.

Abordando la tarea con un análisis de las características de un sistema SAP – o aún mejor de un entorno de sistemas SAP – identificamos muchos aspectos comunes, también particularidades, pero nada demasiado extraño. Así, evidenciamos que un CISO con su experiencia, sus normas de seguridad TI y con algún apoyo complementario (“un traductor bidireccional TI-SAP”), está bien equipado para liderar iniciativas sobre seguridad en SAP. Y es, sin duda, el último responsable.

Seguridad en SAP: Tan especial?

Estructurando el extenso ámbito de seguridad en SAP, hemos considerado cuatro aspectos fundamentales de SAP que enfrentamos en cada proyecto de implementación, mantenimiento y operación de un entorno SAP, características que conllevan sus riesgos y mitigaciones correspondientes:

  1. un paquete de software estándar.
  2. software desarrollado por el cliente – en promedio 2 millones de líneas de código para adaptar la funcionalidad a necesidades específicas del negocio.
  3. la ubicuidad de ABAP – el lenguaje de programación de SAP se usa para todo y es el fundamento de la funcionalidad back-end
  4. la gran complejidad, emergiendo de la amplia funcionalidad y una larga evolución.

A la característica (a), paquete de software estándar, corresponden riesgos y medidas comunes, que por nuestro discurso de hoy no requieren mucha discusión, aunque sus detalles no son triviales.

Cada norma de seguridad se puede monitorizar sin problemas

Asumimos que para cada requisito (ej. complejidad y validez del password o la actualización con parches nuevos) existen funciones en SAP, que se pueden monitorizar y ejecutar sin problema. Sin duda, la perfecta realización de ciertos requisitos (ej. el mínimo privilegio) para miles de usuarios, puede representar un proyecto completo.

Las buenas prácticas generales de desarrollo de software (b) son, en principio, las mismas en SAP que en otra plataforma similar; meramente su aplicación a SAP requiere conocimientos profundos de SAP y, en particular, del ABAP Development Workbench. Como en (a), se trata de un área regular, con particularidades, aunque principalmente en algunos detalles.

Sencillos programas ABAP pueden abrir cualquier puerta

Por contra (c), la ubicuidad – a no decir autocracia – del idioma ABAP en SAP merece especial atención. Al mismo tiempo es necesario conceder muchas autorizaciones para ABAP y es posible abrir casi todas las puertas del sistema con sencillos programas ABAP. Segregaciones estrictas y escaneos automatizados por código vulnerable pueden minimizar los riesgos correspondientes.

De todos modos, es igualmente importante destacar y mantener consciente la exhaustiva responsabilidad del desarrollador para la realización de los requisitos funcionales de forma consistente, aplicando las buenas prácticas de SAP para cumplir a la vez los requisitos de autorización, revisión, robustez, rendimiento y mantenimiento.

Un entorno evolucionado durante años

El último grupo (d), de vulnerabilidades, emana de la complejidad de los sistemas SAP, que contiene, por ejemplo, centenas de objetos obsoletos y críticos; estos objetos requieren desactivación, restricción, sustitución y, sobre todo, monitorización permanente. Sin duda, se trata del área más heterogéneo y versátil, pero exhaustivos catálogos de objetos y pruebas automatizadas proporcionan un desglose manejable de la problemática.

Resumen

Concluimos que el CISO está posicionado y preparado para encabezar una colaboración con el equipo SAP, teniendo el objetivo común de proteger la organización, su información y su éxito contra ciberataques internos y externos a su entorno SAP. Típicamente hay un montón de explicaciones comprensibles para no tener iniciativas TI dedicadas a seguridad en SAP, pero hay muy buenas razones para comenzar, ya sea una auditoría, un penetration-test o simplemente empezar a través una reunión interna con el equipo SAP.